使用get方法提交的密码
描述:使用get方法提交的密码
某些应用程序使用Get方法提交密码,这些密码在请求URL的查询字符串中传输。URL中的敏感信息可以记录在各种位置,包括用户的浏览器,Web服务器和两个端点之间的任何前进或反向代理服务器。beplay体育能用吗URL也可以在屏幕上显示,由用户提供书签或通过电子邮件发送。当遵循任何非现场链路时,它们可能会通过推荐标题公开为第三方。将密码放入URL增加了攻击者将捕获的风险。
导致用户密码披露的漏洞可能导致妥协,这可能因遮挡审计跟踪而无法调查。即使应用程序本身只处理非敏感信息,曝光密码也会使用户在危险之外重新使用他们的密码。
修复:使用get方法提交的密码
提交密码的所有表单都应使用POST方法。为此,应用程序应指定表单标签的方法属性方法=“post”。还可能需要修改相应的服务器端表单处理程序,以确保从消息正文中正确检索提交的密码,而不是URL。
漏洞分类
典型的严重性
低的
类型索引(十六进制)
0x00400300.
类型索引(十进制)
4195072