使用get方法提交的密码

描述：使用get方法提交的密码

某些应用程序使用Get方法提交密码，这些密码在请求URL的查询字符串中传输。URL中的敏感信息可以记录在各种位置，包括用户的浏览器，Web服务器和两个端点之间的任何前进或反向代理服务器。beplay体育能用吗URL也可以在屏幕上显示，由用户提供书签或通过电子邮件发送。当遵循任何非现场链路时，它们可能会通过推荐标题公开为第三方。将密码放入URL增加了攻击者将捕获的风险。

导致用户密码披露的漏洞可能导致妥协，这可能因遮挡审计跟踪而无法调查。即使应用程序本身只处理非敏感信息，曝光密码也会使用户在危险之外重新使用他们的密码。

修复：使用get方法提交的密码

提交密码的所有表单都应使用POST方法。为此，应用程序应指定表单标签的方法属性方法=“post”。还可能需要修改相应的服务器端表单处理程序，以确保从消息正文中正确检索提交的密码，而不是URL。

漏洞分类

• CWE-598：通过查询字符串获取请求的信息曝光
• CAPEC-37：检索嵌入式敏感数据

典型的严重性

低的

类型索引（十六进制）

0x00400300.

类型索引（十进制）

4195072