测试时遇到的问题
漏洞描述:登录、验证等页面的隐藏域中存在密码信息。
测试方法:查看网页源代码,寻找隐藏域中是否存在密码等信息。
风险分析:攻击者通过在局域网中嗅探网络流量,获取明文传输的认证凭证,如用户名密码。
风险等级:
【高危】:隐藏域中存在密码等信息
修复方案:禁止在前端页面中保存密码等敏感信息。
隐藏域在页面中对于用户是不可见的,在表单中插入隐藏域的目的在于收集或发送信息,以利于被处理表单的程序所使用。
基本语法:
<input type="hidden" name="field_name" value="value"> ![邮箱被盗,受到网络钓鱼攻击,如何甄别规避?[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)