IBM AppScan标识了在查询字符串中接收到的密码参数。

Question

我正在尝试修复IBM结果中的问题，并且我得到了AppScan标志：

AppScan标识了在查询字符串中接收到的密码参数。

在屏幕上显示此命令

GET /myapp.com/?username=user&password=**CONFIDENTIAL 1** HTTP/1.1

我100%肯定，我没有发送关键信息，在查询参数，甚至收到请求，我正在考虑的是，应用程序发送的请求，它自己，并希望是我阻止它。

我说得对吗还是我漏掉了什么东西？

Answer 1

应用程序漏洞扫描器通常会误解使用JavaScript发出登录请求的登录表单。我猜HTML表单没有显式声明请求方法为POST。假设当用户实际使用浏览器发出请求时，发出了POST请求，那么可以放心地假设AppScan正在生成该请求。

还有一个需要考虑的问题，如果您向https://myapp.com/?username=user&password=password@123发出请求，它是否返回会话令牌？如果服务器不拒绝所有GET请求，即使用户手动处理它，这也常常被认为是一个漏洞。