appscan漏洞之查询中的密码参数

最新推荐文章于 2024-05-03 16:49:47 发布
最新推荐文章于 2024-05-03 16:49:47 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: appscan 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MaNaiLing/article/details/125716337
版权

最近用appscan扫描系统发现一个漏洞,是查询中的密码参数,原因是可能会窃取查询字符串中发送的敏感数据,根据扫描建议发送敏感信息时,始终使用 SSL POST(主体)参数。

 

在排查问题时可能是因为以下几个问题:

1、报告中显示使用get方法,get传参本身不安全,
2、经拦截数据查验,本身系统使用的是post方法,但黑客使用get方式也可成功发送,后台验证get post请求方式要一致,
3、关于get、post两种请求方式的切换,渗透测试中有可能会使用请求头绕过认证模式
4、在F12查看前端时,发现密码字段使用PASSWORD,Y有可能是前端设置了主键。需查验JS 传参是不是主键

 

 

 

MaNaiLing
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
AppScan安全测试漏洞检测工具10.4版本
12-25
AppScan具有强大的静态、动态、交互式和开源扫描引擎可以部署在开发生命周期的每个阶段,提供完善的漏洞规则库、漏洞扫描引擎、安全性能扫描、云系统集成、Web应用技术和多种代码语言灯
AppScan扫描-查询密码参数、已解密的登录请求
chenfeiwanghan的博客
11-14 250
js包含pwd、mima、password 相关字眼会被AppScan识别出来并判断高危,需要修改成其他参数名称规避。
IBM Appscan爆高危漏洞 广大用户需及时修复
10-23
ppscan是IBM发布的一款应用广泛的商用Web应用安全自动化安全扫描工具。杭州安恒信息技术有限公司安全团队研究发现,该软件7.9版本和8.0版本均存在远程溢出漏洞
Web漏洞扫描之AppScan.pdf
06-23
Web漏洞扫描之AppScan用法教程
Mysql数据库管理-密码策略参数validate_password
oradbm的博客
09-16 7171
前面长篇大论,大刀阔斧,事无巨细地讲解了mysql在centos上的安装。 但是呢,上一篇遗留一个问题,就是mysql修改密码时候遇到的一个问题:密码校验策略。 前言 validate_password插件是mysql5.6以后可以引入的一个新密码校验插件(网友说的,同时还说要用这个插件至少要求mysql5.6.6之后的版本,没啥重要的,就没去验证了),在mysql5.7之后会自动安装的(这个是真的,我装的5.7.21是这样的)。 validate_password_policy是随着validate
*号密码查看器(系统的漏洞
08-20
Windows系统下显示*号密码,在输入密码后,打开该软件,把鼠标移到密码框上就能看到所要的结果。
AppScan漏洞之“查询密码参数
逗神的博客
12-01 2120
AppScan漏洞之“查询密码参数
使用参数查询防止SQL注入漏洞
蓝色月光
11-01 549
SQL注入漏洞曾经是Web应用程序的噩梦,CMS、BBS、Blog无一不曾受其害。 SQL注入的原理 以往在Web应用程序访问数据库时一般是采取拼接字符串的形式,比如登录的时候就是根据用户名和密码查询: string sql = "SELECT TOP 1 * FROM [User] WHERE UserName = ‘” + userName + “‘ AND Password = ‘”
漏洞扫描:AppScan 识别了不是通过 SSL 发送的密码参数
spt_dream的博客
12-08 6452
1、AppScan简介 Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard edition。其安装在 Wind
查询密码参数_Steam客户端参数大全
weixin_29050271的博客
01-26 1885
常用启动参数一览:-applaunch 游戏数字ID 游戏启动参数//直接通过命令行启动游戏,需要加入游戏的数字ID和对应游戏启动参数。-cafeapplaunch//以网吧模式启动游戏,强制启动前验证游戏数据。-clearbeta//如果参加了Steam的Beta活动,可以加入此参数清除。-complete_install_via_http//默认按照HTTP协议方式完成安装。-con...
appscan漏洞扫描工具
07-12
appscan漏洞扫描工具: AppScan的安装 1、解压安装包,双击AppScan_Setup_10.0.0.exe运行,默认下一步安装完成即可。 2、将AppScanStdCrk文件夹的rcl_rational.dll和AppScanStandard.txt复制到安装根路径下,覆盖...
appscan安全漏洞修复
12-21
针对appscan安全漏洞扫描出的漏洞的一些解放方法。 1.不充分账户封锁 2.会话标识未更新 3.跨站点请求伪造 4.启用了不安全的http方法 5.已解密的登录请求
如何获取浏览器URL查询字符串的参数
anbinmei9074的博客
06-21 285
首先要知道Location这个对象以及这个对象的一些属性: href:设置或返回完整的url.如本博客首页返回http://www.cnblogs.com/wymninja/ host:设置或返回主机名和当前的URL的端口号。本博客首页返回www.cnblogs.com hostname:设置或返回当前URL的主机名。本博客首页返回www.cnblogs.com hash:设置...
WP_Query参数:作者,搜索,密码和权限
代码教主
06-09 600
到目前为止,在本系列文章,您已经了解了可以与WP_Query类一起使用的参数选择,可以根据帖子类型,类别,标签,元数据,日期,状态等选择帖子。 在这本有关WP_Query参数的最终教程,我将介绍一些较不常用的参数,这些参数可以为您的查询提供更大的灵活性。 我们将在此处介绍的参数适用于: 作者 搜索 密码 权限 快取 返回字段 在开始之前,让我们快速回...
请求参数+号的密码
weixin_34124651的博客
05-07 167
+号的秘密: html因为一些非标准的做法,将+等同于空格进行处理(当Html的表单被提交时, 每个表单域都会被Url编码之后才在被发送。由于历史的原因,表单使用的Url编码实现并不符合最新的标准。例如对于空格使用 的编码并不是%20,而是+号,如果表单使用的是Post方法提交的,我们可以在HTTP头看到有一个Content-Type的header,值为appl...
逻辑漏洞:水平越权、垂直越权靶场练习
qq_68163788的博客
05-02 927
水平越权和垂直越权是组织常见的管理问题,指的是员工在组织所拥有的权力和责任超出其职位所应具备的范围。 水平越权是指员工在同一级别的职位上超越了其同事的权力和责任范围,通常表现为某个员工在团队承担了过多的任务或权力,导致其他同事感到不公平或不满。 垂直越权则是指员工在组织超越了其职位等级的权力和责任范围,通常表现为员工在没有得到上级批准的情况下做出决策或行动,可能会导致组织内部的混乱和冲突。
软件应用开发安全设计指南
最新发布
weixin_41039677的博客
05-03 310
在设计系统架构时,要充分考虑各种安全威胁,如DDoS攻击、SQL注入、跨站脚本攻击(XSS)等,并采取相应的防护措施。设计时要充分考虑到系统架构的稳固性、可维护性和可扩展性,以确保系统在面对各种安全威胁时能够稳定运行。设计审计和日志记录功能,以记录系统的活动和事件,为安全审计和故障排除提供依据。对网络通讯进行严格的身份验证和访问控制,防止未经授权的访问和数据泄露。在设计软件功能时,要充分考虑功能的安全性,避免引入潜在的安全漏洞。限制对存储设备的物理访问权限,防止未经授权的访问和数据篡改。
创造未来知识管理新篇章:Ollama与AnythingLLM联手打造个人与企业的安全知识库!
跟着大数据和AI去旅行
04-30 1130
Ollama是一个开源的大型语言模型服务工具,它帮助用户快速在本地运行大模型。通过简单的安装指令,用户可以执行一条命令就在本地运行开源大型语言模型,如Llama 2。Ollama极大地简化了在Docker容器内部署和管理LLM的过程,使得用户能够快速地在本地运行大型语言模型。打造个性化聊天机器人:用Ollama和Open WebUI搭建你的私有ChatGPT!windows 下 docker compose 安装 ollama 和 open-webui ,打造私有GPT。
校园安全升级:AR实景监测场景方案
lxzn123的博客
04-29 646
数据融合视频直观呈现:利用增强现实技术,将校园资源数据以标签形式融合到视频画面,实现统筹管理,真正做到所见即所得,提升业务可视化管理水平。- 全景监控与细节兼顾:通过高点全局监控与低点细节查看的结合,实现全景与低空监控的联动,打造出实景式、立体化的全局防控体系。- 数据展示不直观:校园内的重点场所,如校门、广场、教学楼和图书馆等,其资源详细数据的展示并不直观,无法快速定位和查看。- 传统监控的局限性:传统的校园监控系统多采用窗口监控模式,这种模式视野范围有限,画面分散,缺乏全局视角和重点监控。
如何解决appscan扫描出来的安全漏洞 查询接受的主体参数
03-10
对于这个问题,可以通过以下几个步骤来解决: 1. 首先,需要对扫描结果进行分析,确定哪些漏洞是真正存在的,哪些是误报的。 2. 然后,需要根据漏洞的类型和级别,采取相应的修复措施,比如升级软件版本、修复代码漏洞等。 3. 在修复漏洞的同时,还需要加强安全意识教育,提高开发人员的安全意识,避免类似漏洞再次出现。 总之,解决安全漏洞需要综合考虑多个因素,包括技术手段、管理措施和人员素质等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值