高效率创建安全的Java应用, 第2部分 - 编程入门网

这类问题的唯一错误就是 HTML 中的注释。请注意，此处将 HTML 注释变为 JSP 注释。

高效率创建安全的Java应用, 第2部分(18)

最终，使该会话无效，如列表 7 中所示。

列表 7. 更新 welcome.jsp 文件

<!DOCTYPE　HTML　PUBLIC　"-//W3C//DTD　HTML　4.01　Transitional//EN"> <%@page　language="java"　contentType="text/html;　charset=ISO-8859-1" 　　 pageEncoding="ISO-8859-1"%> <html> <head> <title>welcome</title> <meta　http-equiv="Content-Type"　content="text/html;　charset=ISO-8859-1"> <meta　name="GENERATOR"　content="Rational　Application　Developer"> </head> <body> <% 　　 String　userid　=　(String)session.getAttribute("userid"); 　　 session.invalidate(); 　　 session　=　request.getSession(true); 　　 session.setAttribute("userid",　userid); 　　 if(userid　==　null){ 　　　　 response.sendRedirect("login.jsp"); 　　 } %> <h1>Welcome　<%　out.print(userid);　%>!</h1> See　your　<a　href="securities.jsp">securities</a><br/> See　your　<a　href="realestate.jsp">real　estate</a><br/><br/> <a　href="logout.jsp">logout</a> </body> </html>

最后，将 welcome.jsp 中的 HTML 注释修改为 JSP 注释，并且按照前面所讨论的那样，使该会话无效。

在更新完 Rational 应用程序开发器中的所有 jsp 文件之后，对 Wealth Web 应用程序的工作情况进行全面测试。

第二次扫描

至此，您已经对 Java 代码进行了更新和测试。现在，我们再次运行 Rational AppScan 并且观察修正了多少个缺陷。

在运行另一个扫描之前，请检查您的数据表中的数据，这是由于上一个 Rational AppScan 扫描可能会对测试数据添加新的记录，包括 XSS，从而导致测试发生错误。在这个例子中，请注意 Rational AppScan 向安全性数据表中添加了 50 个左右的条目。

在检查过数据表之后，您就可以启动另一个扫描了。

在 Rational AppScan 中，点击 New 或者 File > New，如图 34 中所示。

图 34. 选择您先前创建的扫描模板 WealthScan

接下来，向导再次启动，并且上一个扫描模板中的信息和设置被装在进来。如果您希望精确按照上一次的设置进行扫描，请按下 Next 三次，然后选择 Application-Only 并点击 Finish。

接下来，您被提示保存您的第二次扫描。将其命名为 WeathScan2，在此之后扫描就将开始。

一旦扫描完成，您应当注意到上一次扫描所检测到的安

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!