Web应用程序安全有关问题
日期:2014-05-17 浏览次数:20912 次
Web应用程序安全问题
在项目中用IBM AppScan检测,web应用程序中存在的几个问题,请各位大虾指点下怎么修改:
1、 已解密的登录请求
严重性: 中
测试类型: 应用程序
有漏洞的 URL: http://10.78.10.114:12201/qksp/login
修复任务: 发送敏感信息时总是使用 HTTP POST 方法
推理:
AppScan 识别了不是通过 SSL 发送的密码参数。
2、 启用了不安全的 HTTP 方法
严重性: 中
测试类型: 基础结构
有漏洞的 URL: http://10.78.10.114:12201/qksp/js/
修复任务: 禁用 WebDAV,或者禁止不需要的 HTTP 方法。
响应中的验证:
? Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS
推理:
Allow 头显示危险的 HTTP 选项是已允许的,这表示在服务器上启用了 WebDAV。
请大虾们指点怎样修改以上两个问题……急啊
------解决方案--------------------
第一個,説你是有密码参数發送,所以要求用個HTTPS就好了
第二個,改服務器配置,禁用你不需要的請求方式,一般留個GET和POST就夠了
在项目中用IBM AppScan检测,web应用程序中存在的几个问题,请各位大虾指点下怎么修改:
1、 已解密的登录请求
严重性: 中
测试类型: 应用程序
有漏洞的 URL: http://10.78.10.114:12201/qksp/login
修复任务: 发送敏感信息时总是使用 HTTP POST 方法
推理:
AppScan 识别了不是通过 SSL 发送的密码参数。
2、 启用了不安全的 HTTP 方法
严重性: 中
测试类型: 基础结构
有漏洞的 URL: http://10.78.10.114:12201/qksp/js/
修复任务: 禁用 WebDAV,或者禁止不需要的 HTTP 方法。
响应中的验证:
? Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS
推理:
Allow 头显示危险的 HTTP 选项是已允许的,这表示在服务器上启用了 WebDAV。
请大虾们指点怎样修改以上两个问题……急啊
------解决方案--------------------
第一個,説你是有密码参数發送,所以要求用個HTTPS就好了
第二個,改服務器配置,禁用你不需要的請求方式,一般留個GET和POST就夠了
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
