使用https协议解决掉顽固不化的已解密的登录请求

1.1 已解密的登录请求概述

在应用程序测试过程中，检测到将未加密的登录请求发送到服务器。由于登录过程所用的部分输入字段（例如：用户名、密码、电子邮件地址、社会保险号码，等等）是个人敏感信息，建议通过加密连接（如 SSL）将其发送到服务器。任何以明文传给服务器的信息都可能被窃，稍后可用来电子欺骗身份或伪装用户。 此外，若干隐私权法规指出，用户凭证之类的敏感信息一律以加密方式传给网站。

1.2 安全风险及原因分析

安全风险中，可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息

原因：诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递

1.3 AppScan扫描建议

1. 确保所有登录请求都以加密方式发送到服务器。
2. 请确保敏感信息，例如：

- 用户名

- 密码

- 社会保险号码

- 信用卡号码

- 驾照号码

- 电子邮件地址

- 电话号码

- 邮政编码

一律以加密方式传给服务器。

1.4 应用程序解决方案

已解密的登录请求，要求就是数据要加密传输。最简单有效的解决方式采用SSL加密协议传输，在进行测试过程中也尝试在tomcat下SSL方式配置，写下来供参考。

tomcat在生成证书文件后，在service.xml 进行配置： 给证书加上日期年限-validity 36500 100年

1. 安全证书生成过程：进入到cmd 进入到cd  jdk bin目录下执行

   keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "D:\app.keystore" -validity 36500

2. 生成证书  任意路径都行，放到tomcat文件夹下好管理。
3. 注意：“名字与姓氏”应该是域名（服务器地址或域名）若输成了姓名，和真正运行的时候域名不符，会出问题
4. 
5. 进入到tomcat 的conf 目录下修改servlet.xml ，找到这个配置，添加你的证书的地址以及密码在service.xml配置SSL

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS"

               keystoreFile="D:\tomcat-6.0\conf\app.keystore"

keystorePass="110120"/>

Tomcat服务器： 
JDK版本过低也会带来不安全漏洞，请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。 
（先备份再配置，低版本的配置后有启动不了的风险，请升级tomcat和jdk版本，JDK1.7及以上支持TLS1.2协议）

如果服务端不支持SSLv3，只支持TLSv1、TLSv1.1和TLSv1.2，又该如何设置呢？

Tomcat 6  使用属性  sslProtocols="TLSv1,TLSv1.1,TLSv1.2" 示例代码如下：

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false"  sslProtocols="TLSv1,TLSv1.1,TLSv1.2"   --去掉 sslProtocol="TLS"

               keystoreFile="D:\tomcat-6.0\conf\app.keystore"

keystorePass="110120"/>

Tomcat 7 and later这时需要设置另外一个属性sslEnabledProtocols，示例代码如下：

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false"  sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"   --去掉 sslProtocol="TLS"

               keystoreFile="D:\tomcat-6.0\conf\app.keystore"

keystorePass="110120"/>

开发人员应该能够轻松应对SSL 3.0  SSL 2.0 Poodle漏洞

在这里我是把证书放到tomcat文件夹下。注意要把8443端口改为你自己服务器的端口，以防一直跳转到8443端口。

这样配置后虽然可以通过https访问，但仍然还可以通过8080使用普通的http访问，所以还必须禁止普通模式登录。把原有的普通模式注释掉即可。

<!--

<Connector port="8080" protocol="HTTP/1.1"

connectionTimeout="20000"

redirectPort="8443" />

-->

还得在web.xml添加配置。在tomcat的conf下的web.xml的最后添加配置文件实现http协议自动转化为https 协议，配置文件添加在 <welcome-file-list>   </welcome-file-list> 配置文件后面

对所有的请求都转化为https：

<security-constraint>    

  <!-- Authorization setting for SSL -->    

        <web-resource-collection >    

            <web-resource-name >SSL</web-resource-name>    

            <url-pattern>/*</url-pattern>    

        </web-resource-collection>    

        <user-data-constraint>    

            <transport-guarantee>CONFIDENTIAL</transport-guarantee>    

        </user-data-constraint>    

 </security-constraint> 

只对 .jsp 的请求自动转化为https

<security-constraint>

<!-- Authorization setting for SSL -->

<web-resource-collection >

<web-resource-name >SSL</web-resource-name>

<url-pattern>*.jsp</url-pattern>

<url-pattern>*.action</url-pattern>

</web-resource-collection>

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

</user-data-constraint>

</security-constraint>

应注意，由于项目的一些组件无法通过https，因此url-pattern字段只对.jsp和.action进行了限制，如果不做特定限制，则系统默认是全部使用https传输。而且上述设置一旦在某个工程中出现，那么当前tomcat将全局采用这一配置。