Boa tarde,
Utilizo ocomon 2.0RC6 e rodei um software para verificar algumas vulnerabilidades, preciso de ajuda para corrigir as vulnerabilidades abaixo:
Autocomplete Habilitado
Autocomplete deve ser desabilitada ( autocomplete = "off" ), sobretudo nas formas que processam dados sensíveis, tais como formulários com campos de senha, uma vez que um atacante, se for capaz de acessar o cache do navegador, poderia facilmente obter as informações armazenadas em cache em formato texto plano.
solução: Desativar o recurso de autocompletar ( autocomplete = "off" ), em formas que podem armazenar dados sensíveis.
url: http://xxxxxxx.xxxx.xxxx.xxx/index.php
forma: <método forma = "POST" action = "http://xxxxxxx.xxxx.xxxx.xxx/includes/common/login.php?b8otc86r99j18dli9qf8gv5ct2" enctype = "application / x-www-form-urlencoded" autocomplete = " em "> ... </ Form>
SQL Injection
SQL Injection (SQLI) é uma técnica de injeção de código que explora uma vulnerabilidade de segurança que ocorrem na camada de banco de dados de uma aplicação web. A vulnerabilidade estava presente quando a entrada do usuário ou foi incorretamente filtrado para caracteres de string literais de escape embutidas em instruções SQL ou a entrada do usuário não foi fortemente digitados e, assim, inesperadamente executado.
solução: Sanitize todos os dados fornecidos pelo usuário antes de usá-lo como parte de consultas de banco de dados.
banco de dados: MySQL
pedido:
POST http://xxxxxxx.xxxx.xxxx.xxx/includes/common/login.php?b8otc86r99j18dli9qf8gv5ct2 HTTP/1.1 Content-Type: application / x-www-form-urlencoded senha e login = '% 60% 22z0VT7