使用https协议解决掉顽固不化的已解密的登录请求

1.1 已解密登录请求概述

在应用程序测试过程中,检测到将未加密的登录请求发送到服务器。由于登录过程所用的部分输入字段(例如:用户名、密码、电子邮件地址、社会保险号码,等等)是个人敏感信息,建议通过加密连接(如 SSL)将其发送到服务器。任何以明文传给服务器的信息都可能被窃,稍后可用来电子欺骗身份或伪装用户。 此外,若干隐私权法规指出,用户凭证之类的敏感信息一律以加密方式传给网站。

1.2 安全风险及原因分析

安全风险中,可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息

原因:诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递

1.3 AppScan扫描建议

1. 确保所有登录请求都以加密方式发送到服务器。
2. 请确保敏感信息,例如:

- 用户名

- 密码

- 社会保险号码

- 信用卡号码

- 驾照号码

- 电子邮件地址

- 电话号码

- 邮政编码


一律以加密方式传给服务器。

1.4 应用程序解决方案

 已解密的登录请求,要求就是数据要加密传输。最简单有效的解决方式采用SSL加密协议传输,在进行测试过程中也尝试在tomcat下SSL方式配置,写下来供参考。

tomcat在生成证书文件后,在service.xml 进行配置: 给证书加上日期年限-validity 36500 100年

  1. 安全证书生成过程:进入到cmd 进入到cd  jdk bin目录下执行 
    keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "D:\app.keystore" -validity 36500
  2.  生成证书  任意路径都行,放到tomcat文件夹下好管理。
  3. 注意:“名字与姓氏”应该是域名(服务器地址或域名)若输成了姓名,和真正运行的时候域名不符,会出问题 
  5. 进入到tomcat 的conf 目录下修改servlet.xml ,找到这个配置,添加你的证书的地址以及密码在service.xml配置SSL

    

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS"

               keystoreFile="D:\tomcat-6.0\conf\app.keystore"

keystorePass="110120"/>

Tomcat服务器: 
JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。 
(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)

 如果服务端不支持SSLv3,只支持TLSv1、TLSv1.1和TLSv1.2,又该如何设置呢?  

Tomcat 6  使用属性  sslProtocols="TLSv1,TLSv1.1,TLSv1.2" 示例代码如下:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false"  sslProtocols="TLSv1,TLSv1.1,TLSv1.2"   --去掉 sslProtocol="TLS"

               keystoreFile="D:\tomcat-6.0\conf\app.keystore"

keystorePass="110120"/>

 

Tomcat 7 and later这时需要设置另外一个属性sslEnabledProtocols,示例代码如下:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false"  sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"   --去掉 sslProtocol="TLS"

               keystoreFile="D:\tomcat-6.0\conf\app.keystore"

keystorePass="110120"/>

 开发人员应该能够轻松应对SSL 3.0  SSL 2.0 Poodle漏洞

在这里我是把证书放到tomcat文件夹下。注意要把8443端口改为你自己服务器的端口,以防一直跳转到8443端口。

 

这样配置后虽然可以通过https访问,但仍然还可以通过8080使用普通的http访问,所以还必须禁止普通模式登录。把原有的普通模式注释掉即可。

<!--

     <Connector port="8080" protocol="HTTP/1.1"  

             connectionTimeout="20000"

              redirectPort="8443" />

      -->

还得在web.xml添加配置。在tomcat的conf下的web.xml的最后添加配置文件实现http协议自动转化为https 协议,配置文件添加在 <welcome-file-list>   </welcome-file-list> 配置文件后面

对所有的请求都转化为https:

<security-constraint>    

  <!-- Authorization setting for SSL -->    

        <web-resource-collection >    

            <web-resource-name >SSL</web-resource-name>    

            <url-pattern>/*</url-pattern>    

        </web-resource-collection>    

        <user-data-constraint>    

            <transport-guarantee>CONFIDENTIAL</transport-guarantee>    

        </user-data-constraint>    

 </security-constraint>

 

只对 .jsp 的请求自动转化为https

<security-constraint>

<!-- Authorization setting for SSL -->

<web-resource-collection >

<web-resource-name >SSL</web-resource-name>

<url-pattern>*.jsp</url-pattern>

<url-pattern>*.action</url-pattern>

</web-resource-collection>

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

</user-data-constraint>

</security-constraint>

 应注意,由于项目的一些组件无法通过https,因此url-pattern字段只对.jsp和.action进行了限制,如果不做特定限制,则系统默认是全部使用https传输。而且上述设置一旦在某个工程中出现,那么当前tomcat将全局采用这一配置。

posted @ 2016-08-18 17:18  蜜雪粮液  阅读(5418)  评论(1编辑  收藏  举报