AppScan漏洞“已解密的登陆请求”修复解决方案
2016-03-29 16:57
429 查看
最近在修复系统漏洞时,使用新版AppScan扫描IIS站点(WebForm)出现一个严重漏洞“已解密的登陆请求”。
扫描工具修复的建议为在登陆界面不使用含“password”类型的控件或加密录入参数。 按其所给的建议,我做了如下修改:将password控件修改为textbox控件。使用js替换输入的内容。并将录入的结果录入到隐藏控件中提交时去隐藏控件的值。
修改后部署更新站点重新扫描并不能解决问题。
通过[b]百度、bing等搜索工具找了一下两个解决方案:[/b]
1.站点登陆采用ssl方式
2.对登陆请求的数据进行加密
因站点要求,并不能使用ssl方式,所以只能采用加密的方式来解决问题。
我使用了可逆加密方式des加密。在前端加密后再提交数据至服务端进行解密。按此种方式修改后,更新站点再进行扫描得到的结果是依然不能解决这个漏洞的问题。于是我认真查看了AppScan提交数据请求的记录。发现我提交请求的数据,并没有按我要求进行加密。而是在配置AppScan登陆的数据。这说明AppScan请求登陆只会根据你的配置信息来进行登陆,并不去管你的登陆是否做了其它处理。这是否存在一个问题?你配置appscan的时候你需要配置站点登陆信息,但是他解密时提交的数据本来就是你配置好的。本就是配置的数据,为什么还说你解密的?这里我对appscan的扫描存在质疑(appscan在坑人,你必须得用ssl方式访问站点登陆!!)。
因站点的不能使用ssl方式,所以我找同事讨论。得到另一个解决方案:登陆提交数据使用隐藏控件(包含登陆用户与密码),在提交之前对原来登陆用户、密码录入框内的内容进行清空。后台判断若录入框内存在内容则提示“登陆操作错误!”。这样配置后重新扫描,问题得到了解决,但是存在一个问题AppScan再也登陆不了系统了(扫描是会提示不能正常登陆系统,请确定登陆配置是否正确)。
DES加密及解密(js与C#配套)可参考:http://www.cnblogs.com/luowanli/archive/2013/03/08/DES-Base64%E5%8A%A0%E5%AF%86%E8%A7%A3%E5%AF%86.html
此方法能规避“已解密的登陆请求”的漏洞,但是不能完全解决。在实际站点中AppScan还是能扫描出此漏洞,但在扫描出的报文提交的数据中并不能查看到明文的账号密码信息。
扫描工具修复的建议为在登陆界面不使用含“password”类型的控件或加密录入参数。 按其所给的建议,我做了如下修改:将password控件修改为textbox控件。使用js替换输入的内容。并将录入的结果录入到隐藏控件中提交时去隐藏控件的值。
修改后部署更新站点重新扫描并不能解决问题。
通过[b]百度、bing等搜索工具找了一下两个解决方案:[/b]
1.站点登陆采用ssl方式
2.对登陆请求的数据进行加密
因站点要求,并不能使用ssl方式,所以只能采用加密的方式来解决问题。
我使用了可逆加密方式des加密。在前端加密后再提交数据至服务端进行解密。按此种方式修改后,更新站点再进行扫描得到的结果是依然不能解决这个漏洞的问题。于是我认真查看了AppScan提交数据请求的记录。发现我提交请求的数据,并没有按我要求进行加密。而是在配置AppScan登陆的数据。这说明AppScan请求登陆只会根据你的配置信息来进行登陆,并不去管你的登陆是否做了其它处理。这是否存在一个问题?你配置appscan的时候你需要配置站点登陆信息,但是他解密时提交的数据本来就是你配置好的。本就是配置的数据,为什么还说你解密的?这里我对appscan的扫描存在质疑(appscan在坑人,你必须得用ssl方式访问站点登陆!!)。
因站点的不能使用ssl方式,所以我找同事讨论。得到另一个解决方案:登陆提交数据使用隐藏控件(包含登陆用户与密码),在提交之前对原来登陆用户、密码录入框内的内容进行清空。后台判断若录入框内存在内容则提示“登陆操作错误!”。这样配置后重新扫描,问题得到了解决,但是存在一个问题AppScan再也登陆不了系统了(扫描是会提示不能正常登陆系统,请确定登陆配置是否正确)。
DES加密及解密(js与C#配套)可参考:http://www.cnblogs.com/luowanli/archive/2013/03/08/DES-Base64%E5%8A%A0%E5%AF%86%E8%A7%A3%E5%AF%86.html
此方法能规避“已解密的登陆请求”的漏洞,但是不能完全解决。在实际站点中AppScan还是能扫描出此漏洞,但在扫描出的报文提交的数据中并不能查看到明文的账号密码信息。
相关文章推荐
- AppScan 8.0使用指南笔记(AppScan 系列一)
- Android Studio : 导入第三方包
- 在iOS9上调用支付宝不回调的问题解决,以及支付宝嵌入的流程梳理
- 关于 Content-Type:application/x-www-form-urlencoded 和 Content-Type:multipart/related
- IOS学习之——字典转模型 加载plist
- Unity 时间缩放状态下的特效播放
- 手机端网页web开发要点
- Android开发,关于php服务器文件传输过程出现的问题:中文名文件名在url中的转换
- iOS之"performSelector may cause a leak because its selector is unknown"警告原因及其解决办法
- PlayerPrefs 位置 unity
- AppStore提交出错 ITMS-90034错误application loader的方法提交的以及上线的流程
- 装逼的hitTest 收藏有空看
- [Unity官方文档翻译]Primitive and Placeholder Objects Unity原生3D物体教程
- Android SlidingMenu菜单栏程序设计开发
- Android MediaPlayer 框架UML图
- Android SDK Manager 更新代理配置
- Android 命令生成签名keystore、ant编译打包流程
- EditText焦点问题
- iOS开发-git版本控制
- iOS 原生态扫描二维码、条形码的功能。