81,094
社区成员
发帖
与我相关
我的任务
分享Web应用程序安全问题
在项目中用IBM AppScan检测,web应用程序中存在的几个问题,请各位大虾指点下怎么修改:
1、 已解密的登录请求
严重性: 中
测试类型: 应用程序
有漏洞的 URL: http://10.78.10.114:12201/qksp/login
修复任务: 发送敏感信息时总是使用 HTTP POST 方法
推理:
AppScan 识别了不是通过 SSL 发送的密码参数。
2、 启用了不安全的 HTTP 方法
严重性: 中
测试类型: 基础结构
有漏洞的 URL: http://10.78.10.114:12201/qksp/js/
修复任务: 禁用 WebDAV,或者禁止不需要的 HTTP 方法。
响应中的验证:
• Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS
推理:
Allow 头显示危险的 HTTP 选项是已允许的,这表示在服务器上启用了 WebDAV。
请大虾们指点怎样修改以上两个问题……急啊
1、 已解密的登录请求
严重性: 中
测试类型: 应用程序
有漏洞的 URL: http://10.78.10.114:12201/qksp/login
修复任务: 发送敏感信息时总是使用 HTTP POST 方法
推理:
AppScan 识别了不是通过 SSL 发送的密码参数。
2、 启用了不安全的 HTTP 方法
严重性: 中
测试类型: 基础结构
有漏洞的 URL: http://10.78.10.114:12201/qksp/js/
修复任务: 禁用 WebDAV,或者禁止不需要的 HTTP 方法。
响应中的验证:
• Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS
推理:
Allow 头显示危险的 HTTP 选项是已允许的,这表示在服务器上启用了 WebDAV。
请大虾们指点怎样修改以上两个问题……急啊
...全文
请发表友善的回复…
发表回复
「已注销」 2012-06-21
- 打赏
- 举报
谢谢分享
cnqing 2012-04-07
- 打赏
- 举报
jetty下面关于第二个怎么配置呢
playboy_bbs 2012-03-20
- 打赏
- 举报
具体怎么搞啊···
yygywqf 2011-11-15
- 打赏
- 举报
对,已经解决,就是楼上说的方法
soli11722984 2011-11-08
- 打赏
- 举报
第一個,説你是有密码参数發送,所以要求用個HTTPS就好了
第二個,改服務器配置,禁用你不需要的請求方式,一般留個GET和POST就夠了
第二個,改服務器配置,禁用你不需要的請求方式,一般留個GET和POST就夠了
