AppScan漏洞“已解密的登陆请求”修复解决方案

　　最近在修复系统漏洞时，使用新版AppScan扫描IIS站点（WebForm）出现一个严重漏洞“已解密的登陆请求”。

　　扫描工具修复的建议为在登陆界面不使用含“password”类型的控件或加密录入参数。 按其所给的建议，我做了如下修改：将password控件修改为textbox控件。使用js替换输入的内容。并将录入的结果录入到隐藏控件中提交时去隐藏控件的值。

　　修改后部署更新站点重新扫描并不能解决问题。

　　通过百度、bing等搜索工具找了一下两个解决方案：

　　1.站点登陆采用ssl方式

　　2.对登陆请求的数据进行加密

　　因站点要求，并不能使用ssl方式，所以只能采用加密的方式来解决问题。

　　我使用了可逆加密方式des加密。在前端加密后再提交数据至服务端进行解密。按此种方式修改后，更新站点再进行扫描得到的结果是依然不能解决这个漏洞的问题。于是我认真查看了AppScan提交数据请求的记录。发现我提交请求的数据，并没有按我要求进行加密。而是在配置AppScan登陆的数据。这说明AppScan请求登陆只会根据你的配置信息来进行登陆，并不去管你的登陆是否做了其它处理。这是否存在一个问题？你配置appscan的时候你需要配置站点登陆信息，但是他解密时提交的数据本来就是你配置好的。本就是配置的数据，为什么还说你解密的？这里我对appscan的扫描存在质疑（appscan在坑人，你必须得用ssl方式访问站点登陆！！）。

　　因站点的不能使用ssl方式，所以我找同事讨论。得到另一个解决方案：登陆提交数据使用隐藏控件（包含登陆用户与密码），在提交之前对原来登陆用户、密码录入框内的内容进行清空。后台判断若录入框内存在内容则提示“登陆操作错误！”。这样配置后重新扫描，问题得到了解决，但是存在一个问题AppScan再也登陆不了系统了（扫描是会提示不能正常登陆系统，请确定登陆配置是否正确）。

　　DES加密及解密（js与C#配套）可参考：http://www.cnblogs.com/luowanli/archive/2013/03/08/DES-Base64%E5%8A%A0%E5%AF%86%E8%A7%A3%E5%AF%86.html

　　此方法能规避“已解密的登陆请求”的漏洞，但是不能完全解决。在实际站点中AppScan还是能扫描出此漏洞，但在扫描出的报文提交的数据中并不能查看到明文的账号密码信息。