IBM AppScan 识别出在查询字符串中收到的密码参数

IBM AppScan identified a password parameter that was received in the query string meaning

我正在尝试修复 IBM AppScan 结果中的问题并I\m 获得标志:

AppScan 识别出在查询字符串中收到的密码参数

屏幕上显示此命令

GET /myapp.com/?username=user&password=**CONFIDENTIAL 1** HTTP/1.1

而且我 100% 确定我不会在查询参数中发送关键信息,甚至不会收到请求我在想应用程序自己发送请求并希望我阻止它。

我说得对还是漏掉了什么?

应用程序漏洞扫描器误解使用 JavaScript 发出登录请求的登录表单是很常见的。我猜 HTML 形式没有明确声明请求方法为 POST。假设当用户实际使用浏览器发出请求时,会发出 POST 请求,可以安全地假设 AppScan 正在生成此请求本身。

还有一个问题需要考虑,如果您向 https://myapp.com/?username=user&password=password@123 发出请求,那 return 是会话令牌吗?如果服务器不拒绝所有 GET 请求,这通常也被认为是一个漏洞,即使用户手动制作它也是如此。