×
多选题
在测试一个使用joe和pass证书登录的Web应用程序的过程中,在登录阶段,在拦截代理服务器上看到一个要求访问以下URL的请求:
在测试一个使用joe和pass证书登录的Web应用程序的过程中,在登录阶段,在拦截代理服务器上看到一个要求访问以下URL的请求:
http://www.wahh-app.com/app?action=login&uname=joe&password=pass
如果不再进行其他探测,可以确定哪几种漏洞?
A
由于证书在该URL的查询字符串中传送,因此,这些证书将面临通过浏览器历史记录、Web服务器和IDS日志或直接在屏幕上显示而遭到未授权泄露的风险。
B
密码为一个包含四个小写字母的英文单词。应用程序并未实施任何有效的密码强度规则。
C
证书通过未加密HTTP连接传送,因而易于被位于网络适当位置的攻击者拦截。
D
以上都不正确
答案解析
正确答案:ABC
相关知识点:
Web应用登录,证书传参有风险
相关题目
单选题
及时审查系统访问审计记录是以下哪种基本安全功能?
单选题
下列哪项是系统问责所需要的?
单选题
下列哪项是系统问责时不需要的?
单选题
那种测试结果对开发人员的影响最大
单选题
为了预防逻辑炸弹,项目经理采取的最有效的措施应该是
单选题
开发人员认为系统架构设计不合理,需要讨论调整后,再次进入编码阶段。开发团队可能采取的开发方法为
单选题
"在选择外部供货生产商时,评价标准按照重要性的排列顺序是: 1. 供货商与信息系统部门的接近程度 2. 供货商雇员的态度 3. 供货商的信誉、专业知识、技术 4. 供货商的财政状况和管理情况 "
单选题
对系统安全需求进行评审,以下那类人不适合参与
单选题
面向对象的开发方法中,以下哪些机制对安全有帮助
单选题
对于Linux审计说法错误的是?
