測試時遇到的問題
漏洞描述:登入、驗證等頁面的隐藏域中存在密碼資訊。
測試方法:檢視網頁源代碼,尋找隐藏域中是否存在密碼等資訊。
風險分析:攻擊者通過在區域網路中嗅探網絡流量,擷取明文傳輸的認證憑證,如使用者名密碼。
風險等級:
【高危】:隐藏域中存在密碼等資訊
修複方案:禁止在前端頁面中儲存密碼等敏感資訊。
隐藏域在頁面中對于使用者是不可見的,在表單中插入隐藏域的目的在于收集或發送資訊,以利于被處理表單的程式所使用。
基本文法:
<input type="hidden" name="field_name" value="value"> ![郵箱被盜,受到網絡釣魚攻擊,如何甄别規避?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)