1. 会话 cookie 中缺少 HttpOnly 属性
添加<session-config>
<session-timeout>30</session-timeout>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>
<%
request.getSession().invalidate();//清空session
Cookie cookie =null;
if(request.getCookies()!=null)
cookie = request.getCookies()[0];//获取cookie
if(cookie!=null)
cookie.setMaxAge(0);//让cookie过期
response.setHeader( "Set-Cookie", "name=value; HttpOnly");
response.setHeader( "Set-Cookie", "JSESSIONID="+request.getSession().getId()+"; HttpOnly");
request.getSession(true);//生成新会话
%>
2. 会话标识未更新
目前是为了安全测试屏蔽了登录页面添加验证码引起的,如果验证码不屏蔽就不会出现此问题。
3. 直接访问管理页面
扫描的时候存在,是因为你们的策略和我们的包命名冲突,默认遇到admin就实行你们的策略,但是实质系统中这个问题不存在
4. Autocomplete HTML Attribute Not Disabled for Password Field
在input中添加 autocomplete= "off"
5. 已解密的登录请求
目前是为了安全测试屏蔽了登录页面添加验证码引起的,如果验证码不屏蔽就不会出现此问题。