本次針對 Appscan漏洞 已解密的登陸請求 進行總結,以下:算法
1.一、攻擊原理
未加密的敏感信息(如登陸憑證,用戶名、密碼、電子郵件地址、社會安全號等)發送到服務器時,任何以明文傳給服務器的信息均可能被竊,攻擊者可利用此信息發起進一步攻擊,同時這也是若干隱私權法規(如Sarbanes-Oxley Act,Health Insurance Portability and Accountability Act (HIPAA),金融隱私權:The Gramm-Leach Bliley Act)的要求,用戶憑證之類的敏感信息一概需以加密方式傳給 Web 站點。安全
1.二、防護建議
對請求過程當中涉及的敏感信息進行加密傳輸,如將產品HTTP訪問方式改成HTTPS安全訪問方式;同時在Apache-Tomcat應用服務器的conf文件erver.xml進行安全配置,在產品的WEB.XML文件中添加限制語句等,加密方式除了SSL外,其他知足集團加密算法要求的加密傳輸方法也承認: http://eip-owsg.paic.com.cn/isms/Admin/DownLoad.aspx?id=a2c04af6-a487-4899-998f-418c89c96318.docx.pdf服務器
1.三、例外狀況
純內網系統可沒必要修復此漏洞。加密
1.四、實際修復方案
一、更改http請求爲https請求方式;url
二、敏感信息(如登陸憑證,用戶名、密碼、電子郵件地址、社會安全號等)加密後再進行傳輸。spa