#security #penetration-testing #bluemix-app-scan
#Безопасность #тестирование на проникновение #bluemix-app-scan
Вопрос:
Я пытаюсь исправить проблемы в результатах IBM AppScan, и я получаю флаг:
AppScan определил параметр пароля, который был получен в строке запроса
с помощью этой команды, отображаемой на экране
GET /myapp.com/?username=useramp;password=**CONFIDENTIAL 1** HTTP/1.1
и я на 100% уверен, что я не отправляю важную информацию в параметрах запроса или даже не получаю запросы, я думал о том, что приложение отправляет запрос самостоятельно и хочет, чтобы я его заблокировал.
Я прав или я что-то здесь упускаю?
Комментарии:
1. Скорее всего, во время вашего сканирования, во время процесса входа в систему, AppScan перехватил этот запрос. Если вы хотите проверить это, запустите браузер в разработке и войдите в свое приложение. Посмотрите на проходящие запросы и посмотрите, сможете ли вы определить этот. Сообщите мне результат, и мы сможем перейти оттуда.
Ответ №1:
Довольно часто сканеры уязвимостей приложений неверно интерпретируют формы входа, которые используют JavaScript для выполнения запросов на вход. Я предполагаю, что HTML-форма явно не объявляет метод запроса как POST. Предполагая, что когда пользователь фактически делает запрос с помощью браузера, выполняется запрос POST, можно с уверенностью предположить, что AppScan сам генерирует этот запрос.
Еще один вопрос, который следует учитывать, если вы делаете запрос https://myapp.com/?username=useramp;password=password@123 , возвращает ли это токен сеанса? Это также часто считается уязвимостью, если сервер не отклоняет все GET запросы, даже если пользователь обрабатывает их вручную.