点击此处--->   群内免费提供SAP练习系统（在群公告中）

加入QQ群：457200227（SAP S4 HANA技术交流） 群内免费提供SAP练习系统（在群公告中）

嗨，

我们正在运行带有Apache Tomcat的BO 4.2 SP05，以及在它们前面运行Apache的独立的反向代理服务器。

我们被要求解决以下漏洞

1. 缓慢的HTTP POST漏洞

解决方案将是特定于服务器的，但是一般的建议是：-将可接受的请求的大小限制为每种表单要求-建立最低可接受的速度-建立与POST请求特定于服务器的连接的绝对请求超时

2.包含密码字段的HTML表单通过HTTP提供

确保包含密码字段的HTML表单始终仅通过HTTPS提供。

我猜如果我们将tomcat/conf/server.xml中的tomcat连接器更改为使用ssl一个，这可能会解决2）

是这样吗？

<连接器端口=" 8443"，协议=" org.apache.coyote.http11.Http11NioProtocol" maxThreads =" 150" SSLEnabled =" true"> <证书certificateKeystoreFile =" conf/localhost-rsa.jks" type =" RSA"/>

3.使用已知漏洞的JavaScript库

该Web应用程序正在使用一个或多个包含已知漏洞的JavaScript库。

易受攻击的JavaScript库：jQuery版本：1.12.4脚本uri： https://server.com/BOE/portal/1806171610/InfoView/help/zh-CN/js/jquery.min.js 详细信息：CVE-2015-9251：jQuery 1.4.0或更高版本以及1.12.0以下（版本1.12.3以及更高版本但也低于3.0.0-beta1）的版本很容易通过第三方文本/javascript响应受到XSS的攻击（可以执行第三方CORS请求）。 （ https://github.com/jquery/jquery/issues/2432）。 解决方案：jQuery 3.0.0版本已发布，以解决该问题（ http://blog.jquery.com/2016/01/08/jquery-2-2-and-1-12-released /）。 请参考供应商文档（ https://blog.jquery.com /） 安全更新。 ----------------------------------------------在jQuery版本中 或高于1.12.2且低于2.2.0的$ .parseHTML具有XSS（很多）。 在这些版本中，parseHTML（）在事件处理程序中执行脚本。 请参考以下资源以获取更多详细信息： https://bugs.jquery.com/ticket/ 11974 ， http://research.insecurelabs.org/jquery/test /---------------------------------------------- CVE-2019-11358：Drupal，Backdrop CMS和其他产品中使用的3.4.0以下的jQuery版本由于Object.prototype污染而错误地处理了jQuery.extend（true，{}，...）。 包含可枚举__proto__属性的未经消毒的源对象可以扩展本机Object.prototype。 请参考以下资源以获取更多详细信息： https://blog.jquery.com/2019/04/10/jquery-3-4-0-released /， https://nvd.nist.gov/vuln/detail/CVE-2019-11358 ， https://github.com/jquery/jquery/commit/753d591aea698e57d6db58c9f722cd0808619b1b ， https://nvd.nist.gov/vuln/detail/CVE-2019-11358 。 在以下页面上找到（仅报告前10页）： https://server.com/BOE/portal/1806171610/InfoView/help/zh-CN/607df911dca44e5798e21a0152393932.html https://server.com/BOE/portal/1806171610/InfoView/help/zh-CN/search.html https://server.com/BOE/portal/ 1806171610/InfoView/help/zh/04968906ad7f46859a0382db069db130.html ？ x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/19803bf22d294b77b8a0fa25aa6245a6.html ？ x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh/0ab4b69b968944b0a757c726899e9a6f.html ？ x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/en/1cc9e932022e4ee2a46d6432a84532a3.html ？ x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/38745b17bb9a4f20b138531880ad03a2.html ？ x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/452aa127115b4afba2a49a29b2c8ad7b.html ？ x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/423ccd8c351a4f2dbe4a4c92a821e733.html ？ x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/46ac7fed6e041014910aba7db0e91070.html ？ x = 2832077246133594支持证据 server.com 资产

这是应用程序的一部分-我们如何解决这个问题？