appScan安全扫描常见问题解决

1、  已解密的登录请求

解决方法：确保所有登录请求都以https加密方式发送到服务器。

2、不充分帐户封锁

解决方法：

1、登录的时候密码输入次数过多时锁住用户XX时间能不能登录，增加锁的功能。

2、加入图形验证码解决暴力攻击。

3、在降级的旧加密上填充 Oracle（也称为 POODLE）

在tomcat的server.xml中添加以下配置

           port="8080"

            acceptCount="100"

            clientAuth="false"

            disableUploadTimeout="true"

            enableLookups="false"

            maxThreads="25"

            keystoreFile="d:\tomcat.keystore"

            keystorePass="111111"

              protocol="org.apache.coyote.http11.Http11NioProtocol"

            scheme="https"URIEncoding="utf-8"

              ciphers="SSL_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"

              secure="true" 

            sslProtocol="TLS" 

            sslEnabledProtocols="TLSv1" />

4、会话标识未更新

解决方法：

在登录页面上加上一段代码：

  request.getSession().invalidate()          //清空session

  if (request.getCookies()!=null) { 

  Cookie[] cookies = request.getCookies();

  for (int i = 0; i < cookies.length; i++)

    {

            if(cookies[i].getName().toUpperCase().equals("JSESSIONID"))

         cookies[i].setMaxAge(0);    // 让JSESSIONID 的cookie过期   }

}