原文:https://www.cnblogs.com/anngeiBKY/p/4952269.html 按问题类型分类的问题 使用 SQL 注入的认证旁路2 已解密的登录请求3 登录错误消息凭证枚举1 会话标识未更新2 跨站点请求伪造1 Missing "Content-Security-Policy" header 9 Missing "X-Content-Type-Options" header 9 Missing "X-XSS-Protection&

最近在修复系统漏洞时,使用新版AppScan扫描IIS站点(WebForm)出现一个严重漏洞“已解密的登陆请求”. 扫描工具修复的建议为在登陆界面不使用含“password”类型的控件或加密录入参数. 按其所给的建议,我做了如下修改:将password控件修改为textbox控件.使用js替换输入的内容.并将录入的结果录入到隐藏控件中提交时去隐藏控件的值. 修改后部署更新站点重新扫描并不能解决问题. 通过百度.bing等搜索工具找了一下两个解决方案: 1.站点登陆采用ssl方式 2.对登陆请求的

本次针对 Appscan漏洞 已解密的登录请求 进行总结,如下: 1.1.攻击原理 未加密的敏感信息(如登录凭证,用户名.密码.电子邮件地址.社会安全号等)发送到服务器时,任何以明文传给服务器的信息都可能被窃,攻击者可利用此信息发起进一步攻击,同时这也是若干隐私权法规(如Sarbanes-Oxley Act,Health Insurance Portability and Accountability Act (HIPAA),金融隐私权:The Gramm-Leach Bliley Act)的要

1.1 已解密的登录请求概述 在应用程序测试过程中,检测到将未加密的登录请求发送到服务器.由于登录过程所用的部分输入字段(例如:用户名.密码.电子邮件地址.社会保险号码,等等)是个人敏感信息,建议通过加密连接(如 SSL)将其发送到服务器.任何以明文传给服务器的信息都可能被窃,稍后可用来电子欺骗身份或伪装用户. 此外,若干隐私权法规指出,用户凭证之类的敏感信息一律以加密方式传给网站. 1.2 安全风险及原因分析 安全风险中,可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因:诸如用

问题严重级别:高 此类问题在做政府项目(第三方软件评測中心)验收的时,须要马上整改.例如以下图:

1. SQL注入文件写入(需要用户验证) 解决办法:通过建立过滤器方法,对所有用户输入信息进行清理过滤.通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询.嵌入将在客户端执行的Javascript代码.运行各种操作系统命令等. 建议过滤出所有以下字符: [1] |(竖线符号) [2] &(&符号) [3];(分号) [4] $(美元符号) [5] %(百分比符号) [6] @(at 符号) [7] '(单引号) [8] &q

一. 环境准备 测试通常给的是PDF文档,动辄几百页,看起来很费劲,看文档的时间可能比解决问题的时间还长...所以作为需要解决问题的我们来说,最好安装AppScan,请测试人员提供类型为AppScan Scan File的文件.(图片模糊掉了URL,不影响问题分析)  二. 如何分析AppScan扫描出的安全性问题AppScan扫描出的问题会一般按照严重程度分高,危,参三种类型,高危属于必须要解决的问题:低危一般属于config配置,或IIS配置问题:低的问题,一般也可能是高,低的衍生问题,高危

基于appscan测试结果分析: 一.XSS跨站脚本 指的是攻击者往Web页面里插入恶意html代码,通常是JavaScript编写的恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的.是最常见的Web应用程序安全漏洞之一 JavaScript可以用来获取用户的cookie.改变网页内容.URL调转,存在XSS漏洞的网站,可以盗取用户cookie.黑掉页面.导航到恶意网站 攻击的主要途径: 1.对普通的用户输入,页面原样内容输出 2.在代码区里有用

1.1        AppScan扫描建议 若干问题的补救方法在于对用户输入进行清理. 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询.嵌入将在客户端执行的 Javascript 代码.运行各种操作系统命令,等等. 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(分号) [4] $(美元符号) [5] %(百分比符号) [6] @(at 符号) [7] '(单引号) [8] "

按问题类型分类的问题 使用 SQL 注入的认证旁路2 已解密的登录请求3 登录错误消息凭证枚举1 会话标识未更新2 跨站点请求伪造1 Missing "Content-Security-Policy" header 9 Missing "X-Content-Type-Options" header 9 Missing "X-XSS-Protection" header 9 查询中接受的主体参数1 启用了 Microsoft ASP.NET 调试2

本文记录了通过AppScan 8.0.3工具进行扫描的安全漏洞问题以及解决方案, 1.使用SQL注入的认证旁路 问题描述: 解决方案: 一般通过XSSFIlter过滤器进行过滤处理即可,通过XSSFIIter过滤一些关键字符.可以参考博文 2.已解密的登录请求 一般通过配置weblogic的ssl进行处理 问题描述: 解决方案: 配置服务器,使它能够进行ssl访问即可,可以参考博文 3.跨站点访问 问题描述: 解决方案: 一般通过CSRFFilter过滤器进行过滤,可以参考博文 4.不充分账户封

最近在做安全扫描,把遇到的一些问题以及一些解决方法记录下,以备后用. 扫描软件: IBM Security AppScan Standard  规则: 17441 1. 已解密的登录请求 (高) - 传递的参数名称避免使用语义明确的英文单词 > 如UserID, UserPwd, Password等 - 传递参数中包含敏感数据时使用post方式提交并进行加密传输 - 采用ajax方式提交表单时,提交的参数名称应与对应的表单控件name属性不同或者去掉name属性,通过ID属性取值.   2. 查

DES加解密 /// 进行DES加密. /// </summary> /// <param name="pToEncrypt">要加密的字符串.</param> /// <param name="sKey">密钥,且必须为8位.</param> /// <returns>以Base64格式返回的加密字符串.</returns> public static string Encrypt

一个java的des加密解密代码如下: //package com.visionsky.util; import java.security.*; //import java.util.regex.Pattern; //import java.util.Hashtable; import javax.crypto.*; import javax.crypto.spec.*; import sun.misc.*; /** * des加密解密 */ public class DESPlus { pr

      #region   跨平台加解密(c# 安卓 IOS)       //  public static string sKey = "12345678";       //  /// <summary>       //  /// 解密       //  /// </summary>       //  /// <param name="pToDecrypt">要解密的以Base64</param>  

原文:一个java的DES加解密类转换成C# 一个java的des加密解密代码如下: //package com.visionsky.util; import java.security.*; //import java.util.regex.Pattern; //import java.util.Hashtable; import javax.crypto.*; import javax.crypto.spec.*; import sun.misc.*; /** * des加密解密 */ pu

#region 跨平台加解密(c# 安卓 IOS) // public static string sKey = "12345678"; // /// // /// 解密 // /// // /// 要解密的以Base64 // /// 密钥,且必须为8位 // /// 已解密的字符串 // public static string DesDecrypt(string pToDecrypt) // { // //转义特殊字符 // pToDecrypt = pToDecrypt.Rep

使用Castle ActiveRecord通常都是使用配置文件进行数据库连接配置.然后采用如下方式初始化: IConfigurationSource source = ConfigurationManager.GetSection("activerecord") as IConfigurationSource; ActiveRecordStarter.Initialize(Assembly.Load("ORM.Model"), source); 但是如果采用加密的数

一.            数据加密的概念 1.  基本概念 2.  基本功能 3.  加密形式 二.            数据加密的项目应用和学习 1.  媒体加密:DRM 2.  文件加密:文本加密.pdf.word 3.  数据加密:ASP.NET(C#)中的数据加密 4.  硬件加密:加密狗 三.            数据加密的发展趋势 四.            网络数据加密算法分类 1.  根本不考虑解密问题:MD5. 2.  私用密钥加密:DES.AES 3.  公用密钥加密:

原文:C#/IOS/Android通用加密解密方法 公司在做移动端ios/android,服务器提供接口使用的.net,用到加密解密这一块,也在网上找了一些方法,有些是.net加密了android解密不了,或者反之.下面的是三个平台都可以加密解密的方法.加密解密中用到的key="1234578";在调取方法时传值即可. C#代码 #region 跨平台加解密(c#) /// <summary> /// 对字符串进行DES加密 /// </summary> ///