本次針對 Appscan漏洞 已解密的登錄請求 進行總結,如下:
1.1、攻擊原理
未加密的敏感信息(如登錄憑證,用戶名、密碼、電子郵件地址、社會安全號等)發送到服務器時,任何以明文傳給服務器的信息都可能被竊,攻擊者可利用此信息發起進一步攻擊,同時這也是若干隱私權法規(如Sarbanes-Oxley Act,Health Insurance Portability and Accountability Act (HIPAA),金融隱私權:The Gramm-Leach Bliley Act)的要求,用戶憑證之類的敏感信息一律需以加密方式傳給 Web 站點。
1.2、防御建議
對請求過程中涉及的敏感信息進行加密傳輸,如將產品HTTP訪問方式改為HTTPS安全訪問方式;同時在Apache-Tomcat應用服務器的conf文件erver.xml進行安全配置,在產品的WEB.XML文件中添加限制語句等,加密方式除了SSL外,其余滿足集團加密算法要求的加密傳輸方法也認可: http://eip-owsg.paic.com.cn/isms/Admin/DownLoad.aspx?id=a2c04af6-a487-4899-998f-418c89c96318.docx.pdf
1.3、例外情況
純內網系統可不必修復此漏洞。
1.4、實際修復方案
1、更改http請求為https請求方式;
2、敏感信息(如登錄憑證,用戶名、密碼、電子郵件地址、社會安全號等)加密后再進行傳輸。