在项目中用IBM AppScan检测,web应用程序中存在的几个问题,请各位大虾指点下怎么修改:
1、 已解密的登录请求
严重性: 中
测试类型: 应用程序
有漏洞的 URL: http://10.78.10.114:12201/qksp/login
修复任务: 发送敏感信息时总是使用 HTTP POST 方法
推理:
AppScan 识别了不是通过 SSL 发送的密码参数。
2、 启用了不安全的 HTTP 方法
严重性: 中
测试类型: 基础结构
有漏洞的 URL: http://10.78.10.114:12201/qksp/js/
修复任务: 禁用 WebDAV,或者禁止不需要的 HTTP 方法。
响应中的验证:
• Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS
推理:
Allow 头显示危险的 HTTP 选项是已允许的,这表示在服务器上启用了 WebDAV。
请大虾们指点怎样修改以上两个问题……急啊
1、 已解密的登录请求
严重性: 中
测试类型: 应用程序
有漏洞的 URL: http://10.78.10.114:12201/qksp/login
修复任务: 发送敏感信息时总是使用 HTTP POST 方法
推理:
AppScan 识别了不是通过 SSL 发送的密码参数。
2、 启用了不安全的 HTTP 方法
严重性: 中
测试类型: 基础结构
有漏洞的 URL: http://10.78.10.114:12201/qksp/js/
修复任务: 禁用 WebDAV,或者禁止不需要的 HTTP 方法。
响应中的验证:
• Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS
推理:
Allow 头显示危险的 HTTP 选项是已允许的,这表示在服务器上启用了 WebDAV。
请大虾们指点怎样修改以上两个问题……急啊
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货