URL中的会话令牌

描述：URL中的会话令牌

URL中的敏感信息可以在各个位置登录，包括用户的浏览器，Web服务器以及两个端点之间的任何正向或反向代理服务器。beplay体育能用吗也可以在屏幕上显示URL，用户在书签上或通过电子邮件发送。当遵循任何异地链接时，可以通过推荐人标头向第三方披露它们。将会话令牌放入URL中增加了攻击者将捕获的风险。

修复：URL中的会话令牌

应用程序应使用替代机制来传输会话令牌，例如使用Post方法提交的表格中的HTTP Cookie或隐藏字段。

脆弱性分类

• CWE-200：信息曝光
• CWE-384：会话固定
• CWE-598：通过查询字符串在GET请求中通过查询字符串暴露
• CAPEC-593：会议劫持

典型的严重程度

中等的

类型索引（HEX）

0x00500700

类型索引（十进制）

5244672