APPSCAN代理-华克斯-APPSCAN

appscan 常见的漏洞概述

4、密码传输未采用复杂加密方式

1例子

例如密码仅仅采用md5的加密方式，可通过撞库反码。

2风险分析

单向hash在被截取到传输中的hash值后，攻击者可以一模一样的请求可成功登录。

3修---式

a、添加salt并进行多次hash的方式对密码进行加密

b、使用更为的加密方式进行传输

appscan详细方法步骤

三、分析测试结果复现漏洞

报告会显示很多漏洞，等级分为高，中，低，appscan代理，但是有些漏洞是无法重现的，所以需要人工分析，手动复现。

注意：不要轻易---重新测试，有些问题重新测试之后就没了，这应该是工具问题，实际项目中遇到好多次了，可以先保存一份文件，再一份同样的文件出来重新测试。

appscan分析扫描结果的同时，如果发现不是你的应用程序有关的问题，可以---右上角的vulnerability–>;state–>;noise.这个扫描将会完全从列表中删除此扫描结果.如果想显示，可以在view–>;show issues marker as noise(显示标记为干扰的问题)，将会显示带有删除线的灰色文本中的问题.