AppScan安全性问题:Unencrypted Login Request

luxi0194 2010-10-14 11:15:13
Unencrypted Login Request
Severity: Medium
Type: Application-level test
WASC Threat Classification: Application Privacy Tests
CVE Reference(s): N/A
Security Risk: It may be possible to steal user login information such as usernames and passwords that are sent unencrypted

--------------------------------------------------------------------------------
Possible Causes
Sensitive input fields such as usernames, password and credit card numbers are passed unencrypted
Technical Description
During the application test, it was detected that an unencrypted login request was sent to the server. Since some of the input fields used in a login process (for example: usernames, passwords, email addresses, social security number, etc.) are personal and sensitive, it is recommended that they will be sent to the server over an encrypted connection (e.g. SSL).
Any information sent to the server as clear text, may be stolen and used later for identity theft or user impersonation.

In addition, several privacy regulations state that sensitive information such as user credentials will always be sent encrypted to the web site.
Affected Products
This issue may affect different types of products
References and Relevant Links
Financial Privacy: The Gramm-Leach Bliley Act
Health Insurance Portability and Accountability Act (HIPAA)
Sarbanes-Oxley Act
California SB1386
...全文
430 2 打赏 收藏 转发到动态 举报
写回复
用AI写文章
2 条回复
切换为时间正序
请发表友善的回复…
发表回复
luxi0194 2010-10-14
  • 打赏
  • 举报
 回复
扫描的时候还是会出现这个问题。。。
luxi0194 2010-10-14
  • 打赏
  • 举报
 回复
而在页面上 <form id="form1" runat="server" onsubmit="txtMima.value =hex_md5(txtMima.value)">页面submit的时候已经对密码进行了加密了。。。
Appscan网站扫描
Appscan网站扫描, appscan,安全工具使用步骤,appscan操作步骤
IBM Security AppScan安装包
IBM Security AppScan是IBM推出的一款应用安全测试工具,可以帮助开发人员和测试人员发现Web应用程序的安全漏洞并提供详细的修复建议。该工具主要集中在应用安全领域中,包括黑盒测试、灰盒测试、白盒测试、漏洞扫描、Web服务测试等。 AppScan的核心功能包括: 自动化安全测试:AppScan可以自动化执行安全测试,帮助检测应用程序中的漏洞和各种风险。 高级漏洞扫描:AppScan具有高级漏洞扫描功能,可以识别一些更加难以检测到的漏洞。 代码分析:AppScan可以对Web应用程序中的源代码进行分析,以发现漏洞和安全问题。 报告和监控:AppScan可以生成详细的报告,以帮助开发人员和测试人员确定需要进行修复的安全问题,同时还可以监控Web应用程序的安全性。 集成和可扩展性:AppScan可以与其他开发和测试工具集成,以提高开发和测试效率,同时还支持插件和扩展。 总之,IBM Security AppScan是一款功能强大的应用安全测试工具,可以通过自动化测试和高级漏洞扫描技术,帮助开发人员和测试人员识别和修复Web应用程序中的安全漏洞,提高Web应用程序的安全性
Kali Linux渗透测试入门到实战/高级渗透测试/web渗透测试
课程声明:该课程是教学使用,视频内涉及漏洞利用方法,请勿在互联网环境中使用;维护互联网安全,人人有责。 适合人群:零基础的大学生、IT技术人员、信息安全从业者、安全运维工程师、渗透测试工程师、漏洞挖掘工程师、白帽子 课程大纲(不完全、可能会在后期加入新的内容):1.攻防环境搭建2.信息收集3.PHP常见危险函数4.Kali Linux常用工具使用方法5.SQL注入原理及利用方法(宽字节注入、delete注入、update型注入、mysql函数报错、延时注入、联合注入、waf绕过等)6.XSS原理及利用方法7.CSRF原理及利用方法8.SSRF原理及利用方法9.文件上传漏洞原理及利用方法10.文件包含读取、代码执行、命令执行原理及利用方法11.逻辑漏洞原理及利用方法12.BurpSuite各个模块使用方法13.MSF后渗透使用方法14.Appscan、AWVS、Nessus、bogy等漏洞扫描器使用方法15.Sqlmap、nmap、中国菜刀等工具使用方法16.目录爆破原理及各个工具使用17.Windows及Linux系统提权18.常见getwebshell方法19.渗透测试面试技巧20.密码暴力破解21.内网攻防22.python开发poc23.Android渗透测试24.搜索引擎的高级用法 学习目标:掌握kali Linux渗透测试技巧、掌握常见漏洞检测及利用方法、全部学习完成后可就业渗透测试工程师、web安全工程师、安全运维工程师、漏洞挖掘工程师、安全驻场工程师等 特别提醒:本课程购买后可永久学习、可享受与讲师互动学习资格
appscan安全漏洞修复
针对appscan安全漏洞扫描出的漏洞的一些解放方法。 1.不充分账户封锁 2.会话标识未更新 3.跨站点请求伪造 4.启用了不安全的http方法 5.已解密的登录请求
Web安全测试:《Appscan用户指南》《Web安全深度剖析》
Web安全测试:《Appscan用户指南》《Web安全深度剖析(张炳帅编著)》
C#

110,571

社区成员

642,568

社区内容

发帖
与我相关
我的任务
社区描述
.NET技术 C#
社区管理员
  • C#
  • Web++
  • by_封爱
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告

让您成为最强悍的C#开发者

试试用AI创作助手写篇文章吧

+ 用AI写文章