技术支持项目

1：支持较老的TLS版本

URL：https://ip:6630/js/index.eedcfeea.js

漏洞描述：可能会窃取或操纵客户会话和 cookie，它们可能用于假冒合法用户，从而使黑客能够以该用户身份査看或变更用户记录以及执行事务

推理:AppScan 发现服务器支持较老的 TLS 版本(TLSv1.0 或 TLSv1.1)

解决方案：在对应的endpoint标签内SSLHostConfi中添加protocol属性并且值为TLSv1.2，protocol默认支持全部

<endpoint name="ams-https" port="6630" protocol="HTTP/1.1" SSLEnabled="true" executor="http-thread-pool">

         <SSLHostConfig protocol="TLSv1.2">

        <Certificate certificateKeyFile="conf/cert/server.key" certificateKeyPassword="changeit"

            certificateFile="conf/cert/server.pem" type="RSA" />

    </SSLHostConfig>

</endpoint>

2：检测到 SHA-1 密码套件

URL：https://ip:6630/js/index.eedcfeea.js

漏洞描述：可能会窃取或操纵客户会话和 cookie，它们可能用于假冒合法用户，从而使黑客能够以该用户身份査看或变更用户记录以及执行事务

解决方案：在对应的endpoint标签内SSLHostConfi中添加ciphers属性

<endpoint name="ams-https" port="6630" protocol="HTTP/1.1" SSLEnabled="true" executor="http-thread-pool">

         <SSLHostConfig protocol="TLSv1.2" ciphers="TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256">

        <Certificate certificateKeyFile="conf/cert/server.key" certificateKeyPassword="changeit"

            certificateFile="conf/cert/server.pem" type="RSA" />

    </SSLHostConfig>

</endpoint>