我最近使用Veracode软件进行了代码安全扫描。他们发现的漏洞之一是CWE ID 296(证书信任链不正当),只提供了一个URL:
[一些域] /login.fcc?TYPE=33554433&REALMOID=06-0001a0fa-fce9-116f-9124-e48cac184047&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$h5DAp2mUtJV%2b9BSWU0E5b3HEpwYmd7icGcuJcCzyJ79JnAUSHTDMYaehDLGNNWHM& ; TARGET = $ $ SM%2F
现在,我知道信任链是什么,但URL中的参数似乎并不立即与之相关。但是,我注意到这里的属性都是SiteMinder使用的。由于我们的应用程序使用Spring Security的模块来支持SiteMinder,我想知道你们是否知道它是什么。
项目队列中是否存在与信任链未被正确检查相关的未解决问题?我在那里进行了一次简短的扫描,但找不到任何东西。
答案 0 :(得分:1)
参数意味着以下内容:
TYPE = 33554433:这是登录类型
REALMOID = 06-0001a0fa-fce9-116f-9124-e48cac184047:这是已请求身份验证的SiteMinder领域的OID。
GUID:不确定
SMAUTHREASON = 0:用户被重定向到登录URL的原因。 0表示重定向,因为不需要现有的会话身份验证。
METHOD = GET:用于访问受保护资源的http方法
SMAGENTNAME = $ SM $ h5DAp2mUtJV%2b9BSWU0E5b3HEpwYmd7icGcuJcCzyJ79JnAUSHTDMYaehDLGNNWHM:发出请求的代理商的名称
TARGET = $ SM $%2f:重定向到发布成功身份验证的URL。
感谢Avijit