appscan已解密的登录请求

最新推荐文章于 2023-11-14 14:22:55 发布
最新推荐文章于 2023-11-14 14:22:55 发布
阅读量1k 收藏 1
点赞数
分类专栏: bug记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waternyf/article/details/103709284
版权

坑死人的已解密的登录请求,加密密码没有用,还是能跑出来。

先记录怎么解决的:

不要使用password的类型!!!!!!!

             <input id="userName" name="cname" type="text" class="userName" />
                <input id="password1" type ="text" 
                οnkeypress="javascript:hiddenPass(event)" 
                οnkeyup="this.value=this.value.replace(/./g,'*');" class="password"/>
                <input id="password" type="hidden" name="password"/>

JS

  function hiddenPass(e){
        e= e?e:window.event;
         var kcode=e.which?e.which:e.keyCode;
         var pass=document.getElementById("password1");
         var j_pass=document.getElementById("password");
         if(kcode!=8 && kcode != 13){
          var keychar=String.fromCharCode(kcode);
          j_pass.value=j_pass.value+keychar;
          j_pass.value=j_pass.value.substring(0,pass.length);
    }}

取密码:document.getElementById("password").value;

以上还有个坑是οnkeyup="this.value=this.value.replace(/./g,'*');",这里可能会导致Appscan无法登录,为了跑成功,直接把这里注释了吧。

 

 

DongLiGeDongQiang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AppScan扫描工具
11-21
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库...
小程序登录 -41003: aes 小程序加密数据解密失败问题
weixin_30526593的博客
08-06 513
在微信小程的开发中,登录问题,一定要按照这样的顺序 1. 小程序请求login,拿到code 然后传给服务端; 2.服务端拿到code 到微信服务器拿到sessionKey ;3.然后小程序调用getuserinfo接口拿到encryptedData,iv,然后给服务端;4.服务端拿到客户端的encryptedData,vi还有之前的sessionKey去解密得到 unionId等用户信息;不然...
java已解密登录请求_使用https协议解决掉顽固不化的已解密登录请求
weixin_42287518的博客
02-25 660
1.1已解密登录请求概述在应用程序测试过程中,检测到将未加密的登录请求发送到服务器。由于登录过程所用的部分输入字段(例如:用户名、密码、电子邮件地址、社会保险号码,等等)是个人敏感信息,建议通过加密连接(如 SSL)将其发送到服务器。任何以明文传给服务器的信息都可能被窃,稍后可用来电子欺骗身份或伪装用户。 此外,若干隐私权法规指出,用户凭证之类的敏感信息一律以加密方式传给网站。1.2安全风险...
解密的登陆请求
紫竹星云
10-08 6419
1、已解密的登陆请求 严重性: 高 类型: 应用程序级别测试 WASC 威胁分类: 应用程序隐私测试 CVE 标识: 不适用 CWE 标识: 523 安全风险: 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 负责安全方面的工程师提供了两种方案供我们选择 一、通过SSL传输密码
AppScan漏洞“已解密的登陆请求”修复解决方案
weixin_30367873的博客
03-29 672
  最近在修复系统漏洞时,使用新版AppScan扫描IIS站点(WebForm)出现一个严重漏洞“已解密的登陆请求”。   扫描工具修复的建议为在登陆界面不使用含“password”类型的控件或加密录入参数。 按其所给的建议,我做了如下修改:将password控件修改为textbox控件。使用js替换输入的内容。并将录入的结果录入到隐藏控件中提交时去隐藏控件的值。   修改后部署更新站点重新扫...
JavaScript 的 MD5加密
piziwang
03-17 1915
一个js加密算法网站:http://pajhome.org.uk/crypt/md5/ /* * A JavaScript implementation of the RSA Data Security, Inc. MD5 Message * Digest Algorithm, as defined in RFC 1321. * Version 2.1 Copyright (C) Paul ...
网络安全-已解密登录请求,会话标识未更新,跨站点请求伪造
东风夜放花千树
08-05 7248
这些没有那么麻烦,一天就搞定了。所以简单记录一下。
AppScan10.0
09-07
AppScan10.0,下载亲测可用。AppScan是用于web项目的安全测试工具,扫描网站所有url,自动测试是否存在各种类型的漏洞。
AppScan扫描网站策略
11-01
AppScan是IBM的web安全扫描工具,利用爬虫技术对网站进行安全渗透测试,本文档详细记录了怎么用AppScan对网站进行安全测试。
appscan9.0.txt
07-23
IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入...
IBM Security AppScan安装包
06-26
IBM Security AppScan是IBM推出的一款应用安全测试工具,可以帮助开发人员和测试人员发现Web应用程序的安全漏洞并提供详细的修复建议。该工具主要集中在应用安全领域中,包括黑盒测试、灰盒测试、白盒测试、漏洞扫描...
AppScan安全扫描:已解密登录请求
agdcbu8412的博客
02-07 627
< input size="" style="width: 150px" type="text" id="password1" onkeyup="" onkeypress="" onpaste="return false" ondrop="return false" /> <!--真实的值--> &l...
AppScan扫描-查询中的密码参数、已解密登录请求
最新发布
chenfeiwanghan的博客
11-14 252
js中包含pwd、mima、password 相关字眼会被AppScan识别出来并判断高危,需要修改成其他参数名称规避。
AppScan扫描安全问题修复
ThisLX的博客
08-14 4338
AppScan扫描安全问题修复1、隐藏Nginx版本号2、缺少“Content-Security-Policy”头3、缺少“X-Content-Type-Options”头4、缺少“X-XSS-Protection”头5、已解密登录请求6、会话标识未更新7、SRI (Subresource Integrity) 的检查 1、隐藏Nginx版本号 修改nginx.conf配置文件 http { ...
java已解密登录请求_Appscan漏洞之已解密登录请求
weixin_33389398的博客
02-13 558
本次针对Appscan漏洞已解密登录请求进行总结,如下:1.1、攻击原理未加密的敏感信息(如登录凭证,用户名、密码、电子邮件地址、社会安全号等)发送到服务器时,任何以明文传给服务器的信息都可能被窃,攻击者可利用此信息发起进一步攻击,同时这也是若干隐私权法规(如Sarbanes-Oxley Act,Health Insurance Portability and Accountability ...
AppScan解密登录解决方案
无证骑士的博客
05-27 403
AppScan解密登录解决方案 第一种:换成https协议,采用ssl加密传输数据 第二种:在涉及密码字段的文本框前新建一个隐藏的文本框 添加文本框: 测试得出必须要加id,不加id则仍能扫描出
java已解密登录请求,appscan查到的漏洞解决方案-java版
weixin_36036029的博客
03-15 273
1.会话标识未更新:登录页面加入以下代码:request.getSession(true).invalidate();//清空sessionCookie cookie = request.getCookies()[0];//获取cookiecookie.setMaxAge(0);//让cookie过期2.跨站点请求伪CSRF:response.getWriter().write( "parent....
质量AppScan(测试)安全性问题相关方法
u013619689的专栏
05-22 1248
1. SQL注入文件写入(需要用户验证) 解决办法:通过建立过滤器方法,对所有用户输入信息进行清理过滤。通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] &
appscan登录验证码
07-27
- *1* *2* [appscan解密登录请求](https://blog.csdn.net/waternyf/article/details/103709284)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值