Sửa các khiếm khuyết pot

Sửa các khiếm khuyết

Vì bạn đã quét ứng dụng của bạn và tìm ra các khiếm khuyết, nên bây giờ là lúc

xử lý các vấn đề sử dụng Rational AppScan.

Đề nghị sửa chữa

Vậy nên bây giờ bạn thực sự hiểu một vấn đề XSS là gì, và tại sao nó lại là một

vấn đề phải được loại bỏ. Đây là lúc học cách sửa chữa nó. Nhấn tab Fix

Recommendation được trình bày trong Hình 26.

Hình 26. Sửa chữa

Rational AppScan giải thích theo cách thân thiện với người phát triển cách thức

sửa chữa vấn đề trong ứng dụng Web.

Rational AppScan thậm chì còn cung cấp các dòng ví dụ mã trình Java có khả

năng ngăn chặn vấn đề (xem Hình 27). Rational AppScan thực sự khiến cho việc

sửa lỗi được phát hiện giống như trò chơi trẻ con, thậm chí là cho hầu hết các nhà

phát triển còn "xanh".

Hình 27. Cố định mã được phép của Rational AppScan

Request/Response (Yêu cầu/Trả lời)

"Request/Response" cung cấp thông tin về lần kiểm tra thực tế mà Rational

AppScan đã tiến hành dựa vào ứng dụng Web của bạn. Rational AppScan hoạt

động bằng cách trước tiên gửi một yêu cầu bình thường, và sau đó mới gửi lại yêu

cầu như thế lần nữa, nhưng nó được thay đổi bằng kiểm tra khiếm khuyết. Nếu

bạn nhìn vào Hình 28, hình thể hiện "Kiểm tra" mở, phần văn bản đánh dấu màu

đỏ là phần kiểm tra thực tế (còn gọi lạ một biến thể) mà Rational AppScan đã đốt

tại ứng dụng Web của bạn. Điều này cho phép bạn xem chi tiết kiểm tra cụ thể .

Hãy chú ý đến cách cửa sổ mã trình thể hiện kiểm tra và màu đỏ thể hiện cái đã bị

thay đổi, cho phép bạn chọn nút đánh dấu AB để phóng đại đến phần trả lời nơi đã

tìm thấy chữ ký chứng thực kết quả. Bạn có thể sử dụng thông tin này để thực hiện

lại cuộc tấn công một cách thủ công hoặc thực hiện các kiểm tra cùng loại của

riêng bạn và sau đó lưu chúng trong Rational AppScan. Thậm chí bạn có thể trình

bày kết quả kiểm tra trong một trình duyệt Web.

Hình 28. Request/Response (Yêu cầu/Trả lời)

Biến thể là sự thay đổi không đáng kể yêu cầu kiểm tra gốc mà Rational AppScan

đã gửi cho máy chủ ứng dụng Web của bạn.

Nếu bạn nghi ngờ về tính hợp lệ của các kết quả kiểm tra được Rational AppScan

treo cờ, bạn có thể báo cáo vị trí sai cho đội hỗ trợ IBM Rational AppScan. Quá

trình này đỏi hỏi Rational AppScan gửi thư điện tử chi tiết kiểm tra cho IBM để

phân tích, nhưng đừng lo các chi tiết được gửi đi được mã hóa mặc định.

Sửa các vấn đề cụ thể

Rational AppScan cho bạn biết là có một khiếm khuyết Cross-Site Scripting (XSS)

trong http://192.168.0.4:9080/wealth/realestate.jsp, có nghĩa là nhập trường

address (địa chỉ) có thể sử dụng để đưa tập lệnh (<scripts>) vào và do đó cho

phép một tấn công tập lệnh cross-site diễn ra. Kiểu tấn công này có thể khiến kẻ

tấn công ăn cắp hoặc chế tác một phiên Web của người dùng đã được chứng thực.

Khi bạn nhìn vào các kết quả Rational AppScan tổng thể của bạn, rõ ràng là nó có

các vấn đề XSS tương tự trong city, create, state, value, zip, vì tất cả những thứ

này đều gắn cờ như là bị "Stored Cross-Site-Scripting" tấn công.

Kiểm tra thẻ Fix Recommendation (gợi ý sửa). Rational AppScan cho biết cách

sửa các vấn đề này bằng cách lọc ra các ký tự không hợp lệ, chẳng hạn như "&"

";" "<" "@", và thậm chí còn cung cấp mã Java để thực hiện công việc này.

Vì thế bạn cần thêm các kiểm tra hợp lệ đầu vào trường trong mã Java của bạn, và

bạn sẽ sử dụng mã trong Ví dụ 1 để thực hiện việc này, cái mà nói rõ là chỉ chấp

nhận các ký tự số alpha.

Ví dụ 1. Kiểm tra hợp lệ đầu vào trường