Java网站后台漏洞问题

IBM AppScan 扫描出来的
已解密的登录请求
严重性: 高
URL: http://192.168.1.118:3000/cas/login
实体: login (Page)
风险: 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息
原因: 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递
固定值: 发送敏感信息时,始终使用 SSL 和 POST(主体)参数。
这是CAS 单点登录页面...

 <html xmlns="http://www.w3.org/1999/xhtml" lang="en">
<head>
<title> 统一身份认证系统</title>
<link type="text/css" rel="stylesheet" href="css/cas.css" />
<script type="text/javascript" src="js/common_rosters.js"></script>
<link rel="icon" href="/cas/favicon.ico" type="image/x-icon" />
</head>
<body onload="init();">
<form id="fm1" name="fm1" action="/cas/login?
service=http://218.192.249.226:80/lcconsole/view/ssologin.jsp" method="post">
<div id="div1" class="user">
<a href="#" class="us_ov"></a>
<h2><img src="images/usl_t.png" /></h2>
<div class="us_pt"><span class="boot_info"><span
id="status">必须录入密码。<br/>必须录入用户名。</span></span></div>
<ul class="us_list">
<li >
<b >
用户名:
</b >
<input id="username"
name="username" tabindex="1" accesskey="n" type="text" value="" size="12" autocomplete="false"/>
</li>
<li >
<b >
密 码:
</b >
<input id="password"
name="password" tabindex="2" accesskey="p" type="password" value="" size="12"
autocomplete="off"/>
</li >
</ul>
<input type="hidden" name="lt" value="e1s1" />
<input type="hidden" name="_eventId" value="submit" />
<input type="hidden" name="lt" value="e1s1" />
<input type="hidden" name="_eventId" value="submit" />
<div class="us_but">&nbsp;&nbsp;&nbsp;&nbsp;</div>
<div class="us_but" >
<input class="us_but1" name="submits"
accesskey="l" value="&nbsp;" tabindex="4" type="submit" style="cursor:pointer" />
<input class="us_but2" name="" type="reset"
value="" />
</div>
</div>

3个回答

将登录页面做成https协议的。

password没有加密

Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问