WEB安全漏洞掃描與處理（下）——安全報告分析和漏洞處理

1 AppScan生成的安全報告分析

利用AppScan生成安全報告，可以提前對要生成的安全報告的內容進行選擇，如下圖，最全的安全報告內容，包括摘要，安全性問題，諮詢和修訂建議，應用程式數據等。

生成的安全報告，基本上包含了以上的內容，具體的樣例如下圖。

其中的介紹部分，主要介紹了WEB安全不同嚴重級別的漏洞數量，掃描的時間，測試策略，主機IP，埠，登錄方法，登錄相關設置等資訊。

摘要部分，主要描述了問題的類型說明，有漏洞的URL列表，修復任務和問題數量，安全風險和問題數量，漏洞原因和問題數量，WASC威脅分類和問題數量等。

按問題類型分類的問題部分，按照嚴重性從高到低列出了不同類型的漏洞問題，以及問題的分析，風險的描述，風險原因，測試的請求和響應資訊等。

修訂建議部分，針對前面發現的不同漏洞問題，提出了對應的修復建議。

諮詢部分，也是針對不同的漏洞問題，從多個角度進行分析說明。

應用程式數據部分，列出了掃描過程中，應用程式的一些資訊，訪問的URL，訪問的參數，失敗的請求，JavaScript等等。

2 漏洞的處理

安全報告中的漏洞從嚴重性上可分為高、中、低三級，對於不同嚴重級別漏洞的處理，可以採用不同的處理方式，一般情況下，需要將高、中級別的漏洞解決掉，低級別的漏洞不做處理。

具體的處理方法，基本上按照漏洞處理建議，進行對應的處理。可以採用的處理措施包括安裝第三方產品的最新修補程式或修訂程式，完善Web應用程式編程或配置，對用戶輸入字元進行必要的處理等，針對具體的漏洞問題，根據修訂建議進行處理。

3 漏洞修復案例

在實際的安全漏洞掃描中，我們收到的安全報告，碰到了一些高危漏洞。這裡通過一個高危漏洞的示例，說明漏洞的解決方法。

漏洞名稱：通過 Bash 綁定遠程命令執行（也稱為 Shellshock，也稱為 Bashdoor）Bashdoor)。

解決該漏洞的修訂建議是應用適合的Bash版本修補程式，而且給出了修補程式地址。

在//ftp.gnu.org/pub/gnu/bash/中，查找bash版本修補程式，可以查找bash較新的版本，然後下載這個bash-5.0.tar.gz版本。

將文件上傳到有漏洞的linux伺服器上，利用tar命令解壓該文件，然後cd到解壓目錄，執行

./configure && make && make install

安裝編譯bash-5.0，完成後，查看版本資訊。

[root@localhost ~]# bash –version

GNU bash，版本 5.0.0(1)-release (x86_64-pc-linux-gnu)

許可證 GPLv3+: GNU GPL 許可證第三版或者更新版本 //gnu.org/licenses/gpl.html

通過版本說明，可以看到bash5.0已經安裝成功。

然後再通過AppScan工具進行安全漏洞掃描，結果發現，Bash漏洞已經消失，說明通過安裝新版本修補程式，已經解決了Bash漏洞。

4 結語

分析了AppScan生成的安全報告，並且通過安全報告提供的漏洞解決方法，利用一個示例，解決了高危漏洞，通過文章介紹，可以利用AppScan進行系統的安全漏洞檢測，並且解決相應的安全漏洞，提升Web應用的安全防護能力。