java已解密的登录请求_使用https协议解决掉顽固不化的已解密的登录请求
1.1 已解密的登录请求概述
在应用程序测试过程中,检测到将未加密的登录请求发送到服务器。由于登录过程所用的部分输入字段(例如:用户名、密码、电子邮件地址、社会保险号码,等等)是个人敏感信息,建议通过加密连接(如 SSL)将其发送到服务器。任何以明文传给服务器的信息都可能被窃,稍后可用来电子欺骗身份或伪装用户。 此外,若干隐私权法规指出,用户凭证之类的敏感信息一律以加密方式传给网站。
1.2 安全风险及原因分析
安全风险中,可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息
原因:诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递
1.3 AppScan扫描建议
1. 确保所有登录请求都以加密方式发送到服务器。
2. 请确保敏感信息,例如:
- 用户名
- 密码
- 社会保险号码
- 信用卡号码
- 驾照号码
- 电子邮件地址
- 电话号码
- 邮政编码
一律以加密方式传给服务器。
1.4 应用程序解决方案
已解密的登录请求,要求就是数据要加密传输。最简单有效的解决方式采用SSL加密协议传输,在进行测试过程中也尝试在tomcat下SSL方式配置,写下来供参考。
tomcat在生成证书文件后,在service.xml 进行配置: 给证书加上日期年限-validity 36500 100年
安全证书生成过程:进入到cmd 进入到cd jdk bin目录下执行
keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "D:\app.keystore" -validity 36500
生成证书 任意路径都行,放到tomcat文件夹下好管理。
注意:“名字与姓氏”应该是域名(服务器地址或域名)若输成了姓名,和真正运行的时候域名不符,会出问题
进入到tomcat 的conf 目录下修改servlet.xml ,找到这个配置,添加你的证书的地址以及密码在service.xml配置SSL
Tomcat服务器:
JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。
(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)
如果服务端不支持SSLv3,只支持TLSv1、TLSv1.1和TLSv1.2,又该如何设置呢?
Tomcat 6 使用属性 sslProtocols="TLSv1,TLSv1.1,TLSv1.2" 示例代码如下:
Tomcat 7 and later这时需要设置另外一个属性sslEnabledProtocols,示例代码如下:
开发人员应该能够轻松应对SSL 3.0 SSL 2.0 Poodle漏洞
在这里我是把证书放到tomcat文件夹下。注意要把8443端口改为你自己服务器的端口,以防一直跳转到8443端口。
这样配置后虽然可以通过https访问,但仍然还可以通过8080使用普通的http访问,所以还必须禁止普通模式登录。把原有的普通模式注释掉即可。
还得在web.xml添加配置。在tomcat的conf下的web.xml的最后添加配置文件实现http协议自动转化为https 协议,配置文件添加在 配置文件后面
对所有的请求都转化为https:
SSL
/*
CONFIDENTIAL
只对 .jsp 的请求自动转化为https
SSL
*.jsp
*.action
CONFIDENTIAL
应注意,由于项目的一些组件无法通过https,因此url-pattern字段只对.jsp和.action进行了限制,如果不做特定限制,则系统默认是全部使用https传输。而且上述设置一旦在某个工程中出现,那么当前tomcat将全局采用这一配置。
java已解密的登录请求_使用https协议解决掉顽固不化的已解密的登录请求相关推荐
- 使用https协议解决掉顽固不化的已解密的登录请求
1.1 已解密的登录请求概述 在应用程序测试过程中,检测到将未加密的登录请求发送到服务器.由于登录过程所用的部分输入字段(例如:用户名.密码.电子邮件地址.社会保险号码,等等)是个人敏感信息,建议通过 ...
- macbook系统占用硬盘大_十大方法解决Mac“启动磁盘已满”!让你的Mac“飞起来”~~...
原标题:十大方法解决Mac"启动磁盘已满"!让你的Mac"飞起来"~~ 当你的Mac说磁盘已满时,这是什么意思? 其实这有两个坏消息: 1.很快你就会完全耗尽空 ...
- Java导出Excel提示文件损坏_导出Gridview到Excel成功但文件已损坏?
我需要以编程方式创建一个包含3个工作表的Excel电子表格 . 对于Sheet1,我正在尝试导出一个Gridview ...及其所有格式...而不使用Http.Response这样做,因为该技术强制文 ...
- mysql存储登录密码_当密码存储在选项文件中时,MySQL拒绝登录尝试
第一: >我们正在运行MySQL 5.7.13. >操作系统是Red Hat Enterprise Linux 7.2. >首先使用Python / Connector 2.1.3发 ...
- react http请求_通过Webpack全局配置开发环境和多种生产环境的请求地址
在线上项目的开发中,我们经常会有一个测试服务器一个正式服务器,当我们开发时我们会去使用测试服务器的接口地址,而发版时会把地址改为正式服务器的地址,因此我们可能会在两个地址来回切换(有可能还有更多环境, ...
- c 和java通讯大小端问题处理_记录一个如何解决java与C++socket通信的大小端问题...
问题背景 oracle jdk默认的socket通信发送int类型数据高位优先.下面是jdk包内部相关源码.(模拟)os.write((len >>> 24) & 0xFF) ...
- win10蓝牙已配对连接不上_手把手帮您win10系统显示蓝牙已配对但未连接的设置教程...
许多win10系统用户在工作中经常会遇到win10系统显示蓝牙已配对但未连接的情况,想必大家都遇到过win10系统显示蓝牙已配对但未连接的情况吧,那么应该怎么处理win10系统显示蓝牙已配对但未连接呢 ...
- java 图像膨胀与腐蚀程序_膨胀和腐蚀 - 解决图像缺陷问题
腐蚀 故名思义就是将图片向内进行收缩. 图1 腐蚀示意图 设经过背景减后的图像为 B,经过腐蚀运算处理后的图像为 P,用 S 表示所用 3R圆(为进化计算可由采用3x3的矩形来代替) 的结构元素,计算 ...
- java伪协议_通过伪协议解决父页面与iframe页面通信的问题
我们经常会有父页面与iframe页面的操作,比如 这个iframe里面的内容是js写的.如以下代码 var iframe = document.getElementById("iframe& ...
最新文章
- 一线互联网智能推荐系统架构演进
- python程序保存_初识python 文件读取 保存
- 浏览器登录java_java – 如何停止已登录的用户从其他浏览器登录
- 博客文章的置顶功能『博客帮助』
- Android中脱离WebView使用WebSocket实现群聊和推送功能
- DHTML_____window对象方法
- 在iOS中安装OpenCV
- hdu 1054 Strategic Game 二分图最小点覆盖
- Locust学习总结分享
- SAP License:市场需要双重SAP顾问
- excel的操作中,需要将特定的符号(如逗号)全部替换成软回车
- javascript ~~canvas url blob转换
- DevExpress Dashboard for .NET简化商业智能开发
- 中国各省所处的经纬度范围
- Python数据处理Tips机器学习中文数据8种常用处理方法
- 内存颗粒位宽和容量_内存颗粒编号与内存品牌知识介绍
- php excel加密,excel工作表加密怎么设置?
- [朴孝敏][Ooh La La]
- vue将文件/图片/视频批量打包成压缩包,并进行下载
- 苏宁大数据怎么运营_苏宁大数据离线任务开发调度平台实践
热门文章
- UE4之cmd调用函数
- Springboot之GetMapping参数
- wpf之窗口ShowDialog
- linux学习笔记:shell变量
- move_uploaded_file返回false但实际成功_023 Spring Boot 搭建实际项目开发框架
- flex布局怎么设置子元素大小_Web前端(三):前端布局
- nc65 单据非向导开发 源代码_【免费毕设】ASP.NETIT产品网上物流管理信息系统的设计与实现(源代码+论文)...
- 数据三等分离散python_plotnine:Python版的ggplot2包
- maven仓库中心mirrors配置多个下载中心(执行最快的镜像)
- mysql bitmap实现_[MySQL] mysql中bitmap的简单运用