我有一台安装了apache tomcat 6.0.16且没有运行web应用程序的服务器。
但我有一个axis2.war,它托管的服务很少。现在执行Qualsys Security漏洞检查后,它给了我以下结果:
服务名称:Web服务器 漏洞描述:Web服务器使用基于纯文本窗体的身份验证 严重程度(1-5级,5级最高):3
我搜索了这个错误,我收集到的是,这个错误发生在从Web服务器请求网页的网站上,并且使用的身份验证形式是基于纯文本的。 但我怀疑的是,我们运行的服务器上没有任何Web应用程序,因此需要进行哪些身份验证? 或者如果它与axis2.war?
有关任何建议都会有很大的帮助。
答案 0 :(得分:2)
基本上是说您通过未加密的端口(如端口80)传输数据。可插入的端口80和端口443上的启用,应该可以解决您的问题。
答案 1 :(得分:1)
这意味着Web服务器允许通过端口HTTP / 80(基于纯文本格式的身份验证)进行POST请求。
即使您的网站将您重定向到HTTPS,也没关系,因为有人可以将请求强制为HTTP。
例如,如果通过允许纯文本POST请求配置了错误的网站,则有人可以将网站保存在本地并提交未加密的表单。否则,攻击者可以创建一个假网站(对其进行克隆,使其外观相同),然后通过HTTP / 80将登录表单重定向到原始网站,因此用户不会注意到。然后,他可以通过嗅探网络流量来获取其他用户的登录凭据。
以下是常规重定向响应的示例:
% curl -I http://example.com/
HTTP/1.1 301 Moved Permanently
这是带有POST请求的示例:
% curl -X POST -I http://example.com/
或:
curl -d'foo=bar' http://example.com/login
如果您的网站以HTTP/1.1 200 OK或类似的方式响应,则建议禁止端口80上除GET和HEAD以外的所有请求。