AppScan高危漏洞的修复案例

1. SQL盲注（SQL注入）：

- 过滤特殊字符

- 使用预编译，避免拼接 SQL

- 对 SQL 执行部分异常进行捕获，避免抛出不同异常而被推测有漏洞

- 如果 AppScan 报错，可以尝试把错误的页面单独反复测试，并且把 AppScan 扫描的线程数改成 1（默认是10）

2. 存储的跨站点脚本（XSS漏洞）：

- 对存储的内容进行 XSS 过滤

3. 会话标识未更新：

- JSP的修复方法是在登录页面上加上如下代码：

```java

request.getSession().invalidate(); // 清空 session

Cookie cookie = request.getCookies()[0]; // 获取 cookie

cookie.setMaxAge(0); // 让 cookie 过期

```

- ASP的修复方法是在登录按钮点击后，确认登录前，加入以下代码以清空 SessionId：

```csharp

Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", "")); // 登录判断

Response.Redirect("Default.aspx");

```

4. 启用了不安全的 HTTP 方法：

- 禁用WebDAV功能，这能从根本上解决问题

- 使用 URLSCAN 禁用 OPTIONS 和其他 HTTP 方法，或者只允许 GET/POST/HEAD 方法

- 可以采用三种方法：禁用WebDAV；使用URLSCAN；启用不安全的HTTP方法

5. 已解密的登录请求：

- 解决办法是通过建立过滤器方法，对所有用户输入信息进行清理过滤，从而防止恶意用户导致应用程序执行计划外的任务。

请注意，这些修复案例是基于提供的文本中的建议，实际情况可能需要更详细的分析和特定于应用程序的解决方案。始终建议遵循最佳实践，并咨询安全专家以确保漏洞得到妥善处理。