稍后回复中返回密码
描述:稍后响应中返回密码
一些应用程序将密码返回以后的响应中以清晰的形式提交的密码。此行为增加了用户密码将由攻击者捕获的风险。许多类型的漏洞,例如会话处理中的弱点,破损的访问控件和跨站点脚本,可以使攻击者能够利用此行为来检索其他应用程序用户的密码。这种可能性通常会加剧这些其他漏洞的影响,在某些情况下,攻击者可以快速损害整个应用程序。
导致披露用户密码的漏洞可能导致妥协,这些妥协由于被模糊的审计跟踪而难以调查。即使应用程序本身仅处理非敏感信息,公开密码也会使那些在其他地方重复使用密码的用户处于危险之中。
修复:稍后回复中返回密码
通常没有充分的理由在其响应中返回用户的密码。如果用户模仿是业务需求,则可以更好地实现与关联记录的自定义功能。
参考
脆弱性分类
典型的严重程度
中等的
类型索引(HEX)
0x00400200
类型索引(十进制)
4194816