IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> AppScan安全扫描问题解决方案 -> 正文阅读

[网络协议]AppScan安全扫描问题解决方案

本人遇见过的扫描漏洞解决方案。

一、查询中的密码参数

【解决方案】 password是关键字,把passwod的传参名称改为pcode或其他名称。

风险: 可能会窃取查询字符串中发送的敏感数据,例如用户名和密码
原因: SSL(安全套接字层)可为 HTTP 提供数据机密性和完整性。通过加密 HTTP 消息,SSL 可防止攻击者窃听或更改消息内容。登
录页应始终采用 SSL 来保护从客户机传输到服务器的用户名和密码。如果不使用 SSL,会使用户凭证在传输到服务器期间作为
明文公开,从而易被窃听。
固定值: 发送敏感信息时,始终使用 SSL 和 POST(主体)参数

在这里插入图片描述

二、已解密的登录请求

网上搜索的解决方案都是说把密码加密,或者是改密码参数名称,结果依然被扫出问题。
这个问题看似和上面类似,其实分两种原因,分别是POST和GET。

2.1 POST的已解密的登录请求

原因:密码是明文的需要加密,我这里是Tomcat的安全项目的登录被扫描出来了,解决方案都是一样的。

【解决方案】
1、如果是tomcat的原因直接把tomcat所有自带的项目给删除了,记住是所有。
2、加密登录密码,最好是非对称加密。

实体: password (Parameter)
风险: 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息
原因: SSL(安全套接字层)可为 HTTP 提供数据机密性和完整性。通过加密 HTTP 消息,SSL 可防止攻击者窃听或更改消息内容。登
录页应始终采用 SSL 来保护从客户机传输到服务器的用户名和密码。如果不使用 SSL,会使用户凭证在传输到服务器期间作为
明文公开,从而易被窃听。
固定值: 发送敏感信息时,始终使用 SSL 和 POST(主体)参数

在这里插入图片描述

2.2、GET的已解密的登录请求

我公司项目是Ruoyi,网上搜索了所有方法都不行,还是提示这个漏洞,仔细看发现登录请求怎么会变成GET,看了下登录函数也是POST请求,并且我还不能复现这个问题,直到有次我少上传了一个js文件。
原因:提示报错后会自动跳转到登录页,但是这个自动跳转是GET请求,并且把登录的账号密码参数都一起带了过去,这个我不太清楚AppScan是怎么做到的,正常登录是不会报错的。

【解决方案】 用js的全局异常处理,当出现异常后把密码的Input框值设置为空,以下是代码

var ctx = [[@{/}]]; //thymeleaf模板语法
 window.onerror = handleError
    function handleError(msg,url,l)
    {
        $("input[name='pcode']").val('')
        window.location.href= ctx+"login";
        return false
    } //如果返回值为 false,则在控制台 (JavaScript console) 中显示错误消息。反之则不会

在这里插入图片描述

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-02-24 15:41:42  更:2022-02-24 15:43:53 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/26 8:16:04-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码