安全漏洞: Web服务器使用基于纯文本表单的身份验证

Question

我有一台安装了apache tomcat 6.0.16的服务器，并且没有运行任何web应用程序。

但是我有一个axis2.war，它托管的web服务很少。现在，在执行Qualsys安全漏洞检查后，它给出了以下结果：

服务名称: Web服务器漏洞描述: Web服务器使用基于纯文本形式的身份验证严重性( 1-5的等级，5是最高等级)：3

我已经搜索了这个错误，我收集到的是，这个错误发生在从web服务器请求网页的网站上，并且使用的身份验证形式是基于纯文本的。但我怀疑的是，我们的服务器上没有任何正在运行的web应用程序，那么它要求的是哪种身份验证？或者它是否与axis2.war相关？

任何建议都会有很大帮助。

Answer 1

基本上就是说您正在通过未加密的端口传输数据，例如端口80。DIsable端口80并在端口443上启用，应该可以解决您的问题。

Answer 2

这意味着Web服务器允许POST请求通过端口HTTP/80 (基于纯文本表单的身份验证)。

即使您的网站将您重定向到HTTPS，这也无关紧要，因为有人可以将请求强制到HTTP。

例如，如果网站由于允许纯文本POST请求而配置错误，则有人可以将网站保存在本地并提交未加密的表单。或者攻击者可以创建一个假网站(克隆它，让它看起来一样)，并通过HTTP/80将登录表单重定向到原始网站，这样用户就不会注意到。则他可能能够通过嗅探网络流量来获得其他用户的登录凭证。

以下是常规重定向响应的示例：

% curl -I http://example.com/
HTTP/1.1 301 Moved Permanently

以下是POST请求的示例：

% curl -X POST -I http://example.com/

或者：

curl -d'foo=bar' http://example.com/login

如果您的网站以HTTP/1.1 200 OK或类似的方式响应，则建议您禁止除GET和端口80以外的所有请求。