返回URL查询字符串的密码
描述:返回URL查询字符串的密码
该应用程序对登录提交进行了响应,并带有包含URL查询字符串中用户密码的链接。URL中的敏感信息可以在各个位置登录,包括用户的浏览器,Web服务器以及两个端点之间的任何正向或反向代理服务器。beplay体育能用吗也可以在屏幕上显示URL,用户在书签上或通过电子邮件发送。当遵循任何异地链接时,可以通过推荐人标头向第三方披露它们。将密码放入URL中增加了攻击者将捕获它们的风险。
导致披露用户密码的漏洞可能导致妥协,这些妥协由于被模糊的审计跟踪而难以调查。即使应用程序本身仅处理非敏感信息,公开密码也会使那些在其他地方重复使用密码的用户处于危险之中。
修复:在URL查询字符串中返回的密码
该应用程序绝不应在URL查询字符串中传输任何敏感信息。没有充分的理由将登录机制回声回答用户,并且应修改该机制以删除此行为。
参考
脆弱性分类
典型的严重程度
低的
类型索引(HEX)
0x00400400
类型索引(十进制)
4195328