Appscan漏洞之已解密的登录请求

最新推荐文章于 2022-11-14 16:58:17 发布
最新推荐文章于 2022-11-14 16:58:17 发布
阅读量713 收藏 2
点赞数
文章标签: web.xml
原文链接:http://www.cnblogs.com/meInfo/p/9147610.html
版权

  本次针对 Appscan漏洞 已解密的登录请求 进行总结,如下:

1.1、攻击原理

  未加密的敏感信息(如登录凭证,用户名、密码、电子邮件地址、社会安全号等)发送到服务器时,任何以明文传给服务器的信息都可能被窃,攻击者可利用此信息发起进一步攻击,同时这也是若干隐私权法规(如Sarbanes-Oxley Act,Health Insurance Portability and Accountability Act (HIPAA),金融隐私权:The Gramm-Leach Bliley Act)的要求,用户凭证之类的敏感信息一律需以加密方式传给 Web 站点。

1.2、防御建议

  对请求过程中涉及的敏感信息进行加密传输,如将产品HTTP访问方式改为HTTPS安全访问方式;同时在Apache-Tomcat应用服务器的conf文件erver.xml进行安全配置,在产品的WEB.XML文件中添加限制语句等,加密方式除了SSL外,其余满足集团加密算法要求的加密传输方法也认可: http://eip-owsg.paic.com.cn/isms/Admin/DownLoad.aspx?id=a2c04af6-a487-4899-998f-418c89c96318.docx.pdf

1.3、例外情况

  纯内网系统可不必修复此漏洞。

1.4、实际修复方案

  1、更改http请求为https请求方式;

  2、敏感信息(如登录凭证,用户名、密码、电子邮件地址、社会安全号等)加密后再进行传输。

转载于:https://www.cnblogs.com/meInfo/p/9147610.html

arkqyo2595
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
appscan安全漏洞修复
12-21
5. 已解密登录请求:如果登录请求没有加密,那么用户名和密码等敏感信息在网络传输过程中可能被窃取。使用HTTPS协议加密通信,可以保护数据的机密性,防止中间人攻击。同时,服务器端应验证接收到的证书,避免SSL/...
AppScan解密登录解决方案
无证骑士的博客
05-27 416
AppScan解密登录解决方案 第一种:换成https协议,采用ssl加密传输数据 第二种:在涉及密码字段的文本框前新建一个隐藏的文本框 添加文本框: 测试得出必须要加id,不加id则仍能扫描出
IBM扫描工具AppScan漏洞“已解密的登陆请求”修复解决方案
weixin_30416497的博客
09-24 378
最近在修复系统漏洞时,使用新版AppScan扫描IIS站点(WebForm)出现一个严重漏洞“已解密的登陆请求”。扫描工具修复的建议为在登陆界面不使用含“password”类型的控件或加密录入参数。 按其所给的建议,我做了如下修改:将password控件修改为textbox控件。使用js替换输入的内容。并将录入的结果录入到隐藏控件中提交时去隐藏控件的值。修改后部署更新站点重新扫描并不能解决问题。通...
一种绕过AppScan未加密漏洞的简单方法(附代码)
qq_42000667的博客
11-14 1642
本人描述了一种如何在http下实现password等confidential信息的传输,并能绕过appscan未加密漏洞报告的简单方法,并附与代码。
安全扫描漏洞解决
球球的博客
05-24 7409
Appscan漏洞解密登录请求漏洞,可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息; 整改方案: 1.对于用户名和密码等敏感信息,字段名匿名, 字段内容行非对公私钥加密处理; 2.采用post请求; 3.启用https协议; SQL注入漏洞 在系统部分url处存在该漏洞,该漏洞可能会查看、修改或删除数据库条目和表; 整改方案: 1.请求参数进行过滤一些非法的...
java已解密登录请求_Appscan漏洞之已解密登录请求
weixin_33389398的博客
02-13 567
本次针对Appscan漏洞解密登录请求进行总结,如下:1.1、攻击原理未加密的敏感信息(如登录凭证,用户名、密码、电子邮件地址、社会安全号等)发送到服务器时,任何以明文传给服务器的信息都可能被窃,攻击者可利用此信息发起进一步攻击,同时这也是若干隐私权法规(如Sarbanes-Oxley Act,Health Insurance Portability and Accountability ...
AppScan实战之APP安全测试.docx
06-05
### AppScan实战之APP安全测试 #### 一、引言 随着移动互联网的快速发展,各类APP成为人们生活中不可或缺的一部分。然而,随着APP数量的激增,其安全性问题也日益凸显。为了确保用户数据的安全,对APP进行安全测试...
javaWeb安全验证漏洞修复总结.doc
最新发布
11-29
为了检测和修复已解密登录请求漏洞,可以使用 APPSCAN 等安全扫描工具对应用程序进行扫描和检测。这些工具可以检测到潜在的漏洞,并提供修复建议。 应用程序解决方案 为了避免已解密登录请求漏洞,开发者需要采取...
javaweb安全问题解决方案
11-15
2. 已解密登录请求: 为了保护用户密码,应该在客户端(如JavaScript)进行加密,然后在服务器端(如Java)解密。可以使用RSA等公钥加密算法。另外,确保使用HTTPS协议传输数据,以提供端到端的加密。 3. 登录...
安全验证漏洞修复总结
11-17
APPSCAN 扫描建议可以帮助检测和修复已解密登录请求漏洞。应用程序解决方案包括使用安全的认证机制、限制登录请求的使用、输入验证等。 漏洞修复总结 漏洞修复需要从多个方面入手,包括 WEB 安全、SQL 注入和盲注...
著名的Web漏洞扫描工具IBM Rational AppScan企业版7.7.654(part4)
03-18
IBM Rational AppScan Enterprise Edition 7.7.654(官方原版安装文件+破解key文件) 分卷压缩包 Part 4 IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),还可以根据发现的安全隐患,提出针对性的修复建议,并能形成多种符合法规、行业标准的报告,方便相关人员全面了解企业应用的安全状况。
IBM AppScan 安全扫描报告中部分问题的解决办法
热门推荐
行万里
04-09 1万+
IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性处理办法 原因分析: 服务器开启了Https时,cookie的Secure属性应设为true; 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加:
java已解密登录请求,appscan查到的漏洞解决方案-java版
weixin_36036029的博客
03-15 306
1.会话标识未更新:登录页面加入以下代码:request.getSession(true).invalidate();//清空sessionCookie cookie = request.getCookies()[0];//获取cookiecookie.setMaxAge(0);//让cookie过期2.跨站点请求伪CSRF:response.getWriter().write( "parent....
AppScan安全扫描:已解密登录请求
agdcbu8412的博客
02-07 637
< input size="" style="width: 150px" type="text" id="password1" onkeyup="" onkeypress="" onpaste="return false" ondrop="return false" /> <!--真实的值--> &l...
AppScan扫描安全问题修复
ThisLX的博客
08-14 4567
AppScan扫描安全问题修复1、隐藏Nginx版本号2、缺少“Content-Security-Policy”头3、缺少“X-Content-Type-Options”头4、缺少“X-XSS-Protection”头5、已解密登录请求6、会话标识未更新7、SRI (Subresource Integrity) 的检查 1、隐藏Nginx版本号 修改nginx.conf配置文件 http { ...
java已解密登录请求_使用https协议解决掉顽固不化的已解密登录请求
weixin_42287518的博客
02-25 672
1.1已解密登录请求概述在应用程序测试过程中,检测到将未加密的登录请求发送到服务器。由于登录过程所用的部分输入字段(例如:用户名、密码、电子邮件地址、社会保险号码,等等)是个人敏感信息,建议通过加密连接(如 SSL)将其发送到服务器。任何以明文传给服务器的信息都可能被窃,稍后可用来电子欺骗身份或伪装用户。 此外,若干隐私权法规指出,用户凭证之类的敏感信息一律以加密方式传给网站。1.2安全风险...
Appscan 安全漏洞修复
BincChou的专栏
06-14 1000
1.会话标识未更新:登录页面加入以下代码 Java代码 request.getSession(true).invalidate();//清空session  Cookie cookie = request.getCookies()[0];//获取cookie  cookie.setMaxAge(0);//让cookie过期   request.getSessi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值