Medium Issues Конфиденциальность HTTP GET - PullRequest
Новая
       8

Medium Issues Конфиденциальность HTTP GET

0 голосов
/ 04 июня 2019

У меня есть страница JSP, на которой есть все ссылки на страницы для навигации, которые имеют GET http глагол. Я использовал сканирование безопасности и обнаружил одну проблему, которую я не могу решить.

это ссылка для навигации в коде для следующей страницы GET / olwb / forgine / gteeseleion2.do? Muid = 600

Я получил нарушение имени пользователя, которое было найдено в строке запроса GET-запроса или в заголовке Set-Cookie. Тестирование неизвестного приложения стремится к обнаруживать новые уязвимости как в пользовательском, так и в коммерческом программном обеспечении Из-за этого нет особых патчей или описания к этой проблеме.

Оставив информацию для входа в систему в строке запроса или значениях cookie, злоумышленник может легко увидеть и изменить значения входа в систему. Попросите разработчика или администратора безопасности изучить эту проблему. Рекомендации включают гарантию того, что информация для входа отправлено с запросом POST через зашифрованное соединение, и эта конфиденциальная информация об учетной записи хранится на сервере.

Вот код ниже 

<div id="leftCol" class="edgePanel" data-dojo-type="dijit/layout/ContentPane" data-dojo-props="region: 'left'" style="width:15%;">
   <TABLE cellSpacing=1 cellPadding=0 align=left 
      summary="This table is for design purposes and contains links in the first column only.  There is a description of the link preceeding the actual link.">
      <TBODY>
         <TR>
            <TD vAlign=top align=left>
               <script>debugger;</script>
               <c:forEach varStatus="linkStatus" items="${sessionScope.HOMEPAGEPB.homePageValueObjList}" var="linkLoop">
                  <p class="plessmargin">
                     <c:choose >
                        <c:when test="${linkLoop.helpType == '1660'}">
                           <c:set var="linkTxt" value="${linkLoop.helpExtLink}"/>
                           <c:set var="targetTxt" value="_new"/>
                        </c:when>
                        <c:otherwise >
                           <c:set var="linkTxt" value="${pageContext.request.contextPath}/${linkLoop.helpExtLink}?menuid=${linkLoop.sysFunctId}"/>
                           <c:set var="targetTxt" value=""/>
                        </c:otherwise>
                     </c:choose>
                     <span id="
                     <c:out value="${linkLoop.sysFunctId}"/>
                     " class="highlight"> 
                     <a href ="
                     <c:out value="${linkTxt}"/>
                     "
                     title="
                     <c:out escapeXml="false" value="${linkLoop.helpTxt}"/>
                     "
                     target="
                     <c:out value="${targetTxt}"/>
                     ">
                     <c:out value="${linkLoop.menuTxt}"/>
                     </a>
                     </span> 
                  </p>
               </c:forEach>
            </TD>
         </TR>
      </TBODY>
   </TABLE>
</div>

Мне нужно разделить menuid и использовать некоторые функции и написать сообщение без изменения ссылки. Как я могу это сделать

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...