发表于 5个月前
&来自话题&&&·&
摘要：不应使用易于预测的凭证（例如：admin+admin、guest+guest、test+test 等），因为它们可能很容易预测，可让用户不当进入应用程序。
将登录密码修改为复杂密码（如包括数字、字母大小写、特殊符号），必要时修改登录用户名。
对每个错误的登录尝试发出相同的错误消息，不管是哪个字段发生错误，特别是用户名或密码字段错误。
1. & 可预测的登陆凭证（严重性：高）
1.1. 修订建议
不应使用易于预测的凭证（例如：admin+admin、guest+guest、test+test 等），因为它们可能很容易预测，可让用户不当进入应用程序。
1.2. SAM解决方案
将登录密码修改为复杂密码（如包括数字、字母大小写、特殊符号），必要时修改登录用户名。
2. & 登陆错误消息凭证枚举（严重性：中）
2.1. 修订建议
对每个错误的登录尝试发出相同的错误消息，不管是哪个字段发生错误，特别是用户名或密码字段错误。
2.2. SAM解决方案
修改\webapps\sam\common\skins\layouts\default\login.jsp，将之前细化的登录错误提示统一为“用户名或密码错误”
3. & 已解密的登陆请求（严重性：高）
3.1. 修订建议
1. 确保所有登录请求都以加密方式发送到服务器。
2. 请确保敏感信息一律以加密方式传给服务器。例如：
- 社会保险号码
- 信用卡号码
- 驾照号码
- 电子邮件地址
- 电话号码
- 邮政编码
3.2. SAM解决方案
a、 准备安全证书：
打开命令行工具，在Java/bin目录下执行以下命令
keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\primeton\esbsam_yd\apache-tomcat-5.5.20\conf\tomcat.keystore -validity 36500
参数说明：
-alias*：*指定密钥对的别名，该别名是公开的;
-keyalg*：*指定加密算法，本例中的采用通用的RAS加密算法;
-keystore: 密钥库的路径及名称，不指定的话，默认在操作系统的用户目录下生成一个".keystore"的文件
-validity & 指定创建的证书有效期多少天
b、修改apache-tomcat-5.5.20\conf\server.xml
&Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="SSL"
ciphers="SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"
keystoreFile="D:\primeton\eos702\apache-tomcat-5.5.20\tomcat.keystore" keystorePass="000000"/&
注意：keystoreFile是生成的安全证书文件名；keystorePass是生成安全证书时设置的tomcat的密码
&c、修改apache-tomcat-5.5.20\conf\web.xml，添加以下内容
&security-constraint&
&web-resource-collection &
&web-resource-name &SSL&/web-resource-name&
&url-pattern&*.jsp&/url-pattern&
&url-pattern&*.action&/url-pattern&
&/web-resource-collection&
&user-data-constraint&
&transport-guarantee&CONFIDENTIAL&/transport-guarantee&
&/user-data-constraint&
&/security-constraint&
&login-config&
&auth-method&CLIENT-CERT&/auth-method&
&realm-name&Client Cert Users-only Area&/realm-name&
&/login-config&
4. & SSL 支持弱SSL密码套件（严重性：中）
4.1. 修订建议
重新配置服务器以避免使用弱密码套件。此配置更改特定于服务器。
对于 Microsoft Windows XP 和 Microsoft Windows Server 2003，请遵循下列指示信息：/kb/245030 对于 Microsoft Windows Vista、Microsoft Windows 7 和 Microsoft Windows Server 2008，请通过遵循下列指示信息，从支持的密码套件列表中移除标识为弱的密码套件：/en-us/library/windows/desktop/bb870930(v=vs.85).aspx
对于 Apache TomCat 服务器，请遵循以下指示信息：https://www.owasp.org/index.php/Talk:Securing_tomcat#Disabling_weak_ciphers_in_Tomcat
对于 Apache 服务器，请在 httpd.conf 或 ssl.conf 文件中修改（或添加）SSLCipherSuite 伪指令：SSLCipherSuite HIGH:MEDIUM:!MD5!EXP:!NULL:!LOW:!ADH
4.2. SAM解决方案
修改tomcat的server.xml 中SSL Connector container attribute，加入以下内容
ciphers="SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
5. & 启用了不安全的HTTP方法（严重性：中）
5.1. 修订建议
如果服务器不需要支持 WebDAV，请务必禁用它，或禁止不必要的 HTTP 方法（动词）。
5.2. SAM解决方案
apache-tomcat-5.5.20\webapps\sam\WEB-INF\web.xml中添加
&security-constraint&
&web-resource-collection&
&url-pattern&/*&/url-pattern&
&http-method&DELETE&/http-method&
&http-method&OPTIONS&/http-method&
&http-method&TRACE&/http-method&
&/web-resource-collection&
&auth-constraint&
&/auth-constraint&
&/security-constraint&
&login-config&
&auth-method&BASIC&/auth-method&
&/login-config&
6. & 会话cookie中缺少HTTPonly属性（严重性：低）
6.1. 修订建议
基本上，cookie 的唯一必需属性是“name”字段。常见的可选属性如下：“comment”、“domain”、“path”，等等。必须相应地设置“HttpOnly”属性，才能防止会话 cookie 被脚本访问。
6.2. SAM解决方案
有安全问题的页面加入java代码
&% &response.setHeader("Set-Cookie", "name=value1; HttpOnly");%&
7. & 加密会话（SSL）Cookie中缺少Secure属性（严重性：中）
7.1. 修订建议
基本上，cookie 的唯一必需属性是“name”字段。常见的可选属性如下：“comment”、“domain”、“path”，等等。必须相应地设置“secure”属性，才能防止以未加密的方式发送 cookie。
RFC 2965 指出： “Secure 属性（不含值）会指导用户代理程序不管何时返回此 cookie，都只用（未指定）安全方法来联络原始服务器，以保护 cookie 中的信息的机密性和真实性。”
如需进一步的引用，请参阅“HTTP 状态管理机制”RFC 2965（网址为：
http://www.ietf.org/rfc/rfc2965.txt
），如需使用“HTTP 状态管理机制”的“当前最佳做法”，请参阅
http://tools.ietf.org/html/rfc2964
7.2. SAM解决方案
有安全问题的页面加入java代码
&% &response.setHeader("Set-Cookie", "name=value1; Secure ");%&
8. & HTML注释敏感信息泄漏（严重性：参考信息）
8.1. 修订建议
[1] 请勿在 HTML 注释中遗留任何重要信息（如文件名或文件路径）。
[2] 从生产站点注释中除去以前（或未来）站点链接的跟踪信息。
[3] 避免在 HTML 注释中放置敏感信息。
[4] 确保 HTML 注释不包括源代码片段。
[5] 确保程序员没有遗留重要信息。
8.2. SAM解决方案
修改\apache-tomcat-5.5.20\webapps\sam\report\service\serviceFrame.jsp
9. & &发现内部IP泄漏模式（严重性：参考信息）
9.1. 修订建议
内部 IP 通常显现在 Web 应用程序/服务器所生成的错误消息中，或显现在 HTML/JavaScript 注释中。
[1] 关闭 Web 应用程序/服务器中有问题的详细错误消息。
[2] 确保已安装相关的补丁。
[3] 确保内部 IP 信息未留在 HTML/JavaScript 注释中。
9.2. SAM解决方案
修改\apache-tomcat5.5.20\webapps\sam\common\skins\layouts\default\scripts\menu.js
后方可回复
如果没有账号可以
一个帐号。
回答数&0&·&文章数&5用社交网络结识新人
是免费的！
Bahasa Melayu
Espa?ol - América Latina
Espa?ol - Espa?a
Espa?ol - México
Nederlands
Português - Brasil
Português
Русский
中文 (简体)
中文 (繁軆)赞助商链接 ( B1 )
赞助商旗帜 ( B2 )
正在更新报表，请稍候……这一般需要 10 秒钟
来路站点“/5101”的相关URL
无法找到“/5101”的相关URL。如果这个来路出现在来路列表中，则没有相关URL是因为这是一个很久都没有来访量的来路站点。
服务器及带宽由
「我要啦」免费统计 www.51.La | Powered by Ajiang.net | 版权所有
| 豫ICP备号