最近试了一下Appscan系统安全测试工具,发现系统还是存在一些安全漏洞的,下面就来说一下遇到的漏洞以及解决方案,后续慢慢增加
1、使用HTTP动词篡改的认证旁路
咱们来看下他的修改建议
从修改建议来看,是没对HTTP请求方式做限制,看了一些网上博客,有的是tomcat里配置访问方式限制,有的是通过过滤器啥的,后来我想了想,不如直接在请求方式里增加访问限制。
解决方案如下:
在@RequestMapping()注解里添加 请求方式 method = RequestMethod.GET
添加后,再用Appscan测试通过!
