WEB安全漏洞测试 处理

JJYY0088 2012-07-14 05:36:28
密码输入框 提示
===============================================

[1 / 2] 已解密的登录请求
严重性: 高
测试类型: 应用程序
有漏洞的URL: http://10.246.60.201/index.asp..
CVE 标识: 不适用
CWE 标识: 523
发送敏感信息时,始终使用 SSL 和POST(主体)参数。 修复任务:


原因说是
AppScan 的推理是“AppScan 识别了不是通过SSL 发送的密码参数。


如何解决这个问题,不通过测试 网站要下线。。。。。十万火急。。。。。。
...全文
931 7 打赏 收藏 转发到动态 举报
写回复
用AI写文章
7 条回复
切换为时间正序
请发表友善的回复…
发表回复
朝着希望前进 2015-01-06
  • 打赏
  • 举报
回复
引用 楼主 LXH060204 的回复:
密码输入框 提示 =============================================== [1 / 2] 已解密的登录请求 严重性: 高 测试类型: 应用程序 有漏洞的URL: http://10.246.60.201/index.asp.. CVE 标识: 不适用 CWE 标识: 523 发送敏感信息时,始终使用 SSL 和POST(主体)参数。 修复任务: 原因说是 AppScan 的推理是“AppScan 识别了不是通过SSL 发送的密码参数。 如何解决这个问题,不通过测试 网站要下线。。。。。十万火急。。。。。。
把password的name值改为password2就可以了吗
myshow666 2012-07-27
  • 打赏
  • 举报
回复
回复5楼
麻烦能说明白点吗?小弟这方面很菜!
showjim 2012-07-14
  • 打赏
  • 举报
回复
使用随机参数+非对称加密,强度与SSL相当
beyond_me21 2012-07-14
  • 打赏
  • 举报
回复
告诉你,要用ssl加密协议发送数据,即用https而不是http,那么你让你的客户是申请购买服务器证书
  • 打赏
  • 举报
回复
那么你就修改参数命名嘛!
JJYY0088 2012-07-14
  • 打赏
  • 举报
回复
是啊 这个测试问题 就是扯淡 不过客户说要通过 不通过 网站不给上线
  • 打赏
  • 举报
回复
有些测试它很扯淡,如果你不用类似password这类敏感字眼个给你的参数命名,它就检测不出这种问题了!

62,016

社区成员

发帖
与我相关
我的任务
社区描述
.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧