网页源代码隐藏域中存在密码


测试时遇到的问题

????会话变量泄漏

漏洞描述:登录、验证等页面的隐藏域中存在密码信息。

测试方法:查看网页源代码,寻找隐藏域中是否存在密码等信息。

风险分析:攻击者通过在局域网中嗅探网络流量,获取明文传输的认证凭证,如用户名密码。

风险等级:

【高危】:隐藏域中存在密码等信息

修复方案:禁止在前端页面中保存密码等敏感信息。

????html中隐藏域hidden

隐藏域在页面中对于用户是不可见的,在表单中插入隐藏域的目的在于收集或发送信息,以利于被处理表单的程序所使用。

基本语法:

<input type="hidden" name="field_name" value="value"> 



上一篇:报告称 MAC 恶意软件火箭式猛增


下一篇:Java管理——Gradle使用速记