WEB安全漏洞扫描与处理（下）——安全报告分析和漏洞处理

1 AppScan生成的安全报告分析

利用AppScan生成安全报告，可以提前对要生成的安全报告的内容进行选择，如下图，最全的安全报告内容，包括摘要，安全性问题，咨询和修订建议，应用程序数据等。

生成的安全报告，基本上包含了以上的内容，具体的样例如下图。

 

其中的介绍部分，主要介绍了WEB安全不同严重级别的漏洞数量，扫描的时间，测试策略，主机IP，端口，登录方法，登录相关设置等信息。

摘要部分，主要描述了问题的类型说明，有漏洞的URL列表，修复任务和问题数量，安全风险和问题数量，漏洞原因和问题数量，WASC威胁分类和问题数量等。

按问题类型分类的问题部分，按照严重性从高到低列出了不同类型的漏洞问题，以及问题的分析，风险的描述，风险原因，测试的请求和响应信息等。

修订建议部分，针对前面发现的不同漏洞问题，提出了对应的修复建议。

咨询部分，也是针对不同的漏洞问题，从多个角度进行分析说明。

应用程序数据部分，列出了扫描过程中，应用程序的一些信息，访问的URL，访问的参数，失败的请求，JavaScript等等。

2 漏洞的处理

安全报告中的漏洞从严重性上可分为高、中、低三级，对于不同严重级别漏洞的处理，可以采用不同的处理方式，一般情况下，需要将高、中级别的漏洞解决掉，低级别的漏洞不做处理。

具体的处理方法，基本上按照漏洞处理建议，进行对应的处理。可以采用的处理措施包括安装第三方产品的最新补丁或修订程序，完善Web应用程序编程或配置，对用户输入字符进行必要的处理等，针对具体的漏洞问题，根据修订建议进行处理。

3 漏洞修复案例

在实际的安全漏洞扫描中，我们收到的安全报告，碰到了一些高危漏洞。这里通过一个高危漏洞的示例，说明漏洞的解决方法。

漏洞名称：通过 Bash 绑定远程命令执行（也称为 Shellshock，也称为 Bashdoor）Bashdoor)。

解决该漏洞的修订建议是应用适合的Bash版本补丁，而且给出了补丁地址。

在http://ftp.gnu.org/pub/gnu/bash/中，查找bash版本补丁，可以查找bash较新的版本，然后下载这个bash-5.0.tar.gz版本。

将文件上传到有漏洞的linux服务器上，利用tar命令解压该文件，然后cd到解压目录，执行

./configure && make && make install

安装编译bash-5.0，完成后，查看版本信息。

[root@localhost ~]# bash --version

GNU bash，版本 5.0.0(1)-release (x86_64-pc-linux-gnu)

Copyright (C) 2019 Free Software Foundation, Inc.

许可证 GPLv3+: GNU GPL 许可证第三版或者更新版本 http://gnu.org/licenses/gpl.html

通过版本说明，可以看到bash5.0已经安装成功。

然后再通过AppScan工具进行安全漏洞扫描，结果发现，Bash漏洞已经消失，说明通过安装新版本补丁，已经解决了Bash漏洞。

4 结语

分析了AppScan生成的安全报告，并且通过安全报告提供的漏洞解决方法，利用一个示例，解决了高危漏洞，通过文章介绍，可以利用AppScan进行系统的安全漏洞检测，并且解决相应的安全漏洞，提升Web应用的安全防护能力。