1.1 已解密的登录请求概述

在应用程序测试过程中，检测到将未加密的登录请求发送到服务器。由于登录过程所用的部分输入字段(例如：用户名、密码、电子邮件地址、社会保险号码，等等)是个人敏感信息，建议通过加密连接(如 SSL)将其发送到服务器。任何以明文传给服务器的信息都可能被窃，稍后可用来电子欺骗身份或伪装用户。 此外，若干隐私权法规指出，用户凭证之类的敏感信息一律以加密方式传给网站。

1.2 安全风险及原因分析

安全风险中，可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息

原因：诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递

1.3 AppScan扫描建议

1. 确保所有登录请求都以加密方式发送到服务器。

2. 请确保敏感信息，例如：

- 用户名

- 密码

- 社会保险号码

- 信用卡号码

- 驾照号码

- 电子邮件地址

- 电话号码

- 邮政编码

一律以加密方式传给服务器。

1.4 应用程序解决方案

已解密的登录请求，要求就是数据要加密传输。最简单有效的解决方式采用SSL加密协议传输，在进行测试过程中也尝试在tomcat下SSL方式配置，写下来供参考。

tomcat在生成证书文件后，在service.xml 进行配置： 给证书加上日期年限-validity 36500 100年

安全证书生成过程：进入到cmd 进入到cd  jdk bin目录下执行

keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "D:\app.keystore" -validity 36500

生成证书  任意路径都行，放到tomcat文件夹下好管理。

注意：“名字与姓氏”应该是域名(服务器地址或域名)若输成了姓名，和真正运行的时候域名不符，会出问题

进入到tomcat 的conf 目录下修改servlet.xml ，找到这个配置，添加你的证书的地址以及密码在service.xml配置SSL

Tomcat服务器：

JDK版本过低也会带来不安全漏洞，请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。

(先备份再配置，低版本的配置后有启动不了的风险，请升级tomcat和jdk版本，JDK1.7及以上支持TLS1.2协议)

如果服务端不支持SSLv3，只支持TLSv1、TLSv1.1和TLSv1.2，又该如何设置呢？

Tomcat 6  使用属性  sslProtocols="TLSv1,TLSv1.1,TLSv1.2" 示例代码如下：

Tomcat 7 and later这时需要设置另外一个属性sslEnabledProtocols，示例代码如下：

开发人员应该能够轻松应对SSL 3.0  SSL 2.0 Poodle漏洞

在这里我是把证书放到tomcat文件夹下。注意要把8443端口改为你自己服务器的端口，以防一直跳转到8443端口。

这样配置后虽然可以通过https访问，但仍然还可以通过8080使用普通的http访问，所以还必须禁止普通模式登录。把原有的普通模式注释掉即可。

还得在web.xml添加配置。在tomcat的conf下的web.xml的最后添加配置文件实现http协议自动转化为https 协议，配置文件添加在    配置文件后面

对所有的请求都转化为https：

SSL

/*

CONFIDENTIAL

只对 .jsp 的请求自动转化为https

SSL

*.jsp

*.action

CONFIDENTIAL

应注意，由于项目的一些组件无法通过https，因此url-pattern字段只对.jsp和.action进行了限制，如果不做特定限制，则系统默认是全部使用https传输。而且上述设置一旦在某个工程中出现，那么当前tomcat将全局采用这一配置。