使用 GET 的 Web Form 傳送認證 (PCI-DSS 檢查)
medium Nessus Plugin ID 108807
語系:
概要
Web 應用程式表單使用 HTTP GET 要求傳送認證。說明
遠端 Web 應用程式具有使用 HTTP GET 要求傳送認證的表單。這會造成伺服器將敏感資訊 (如使用者名稱和密碼) 記錄到存取記錄中。運用 HTTP 通訊協定的服務作者「不得」使用 GET 式的表單來傳輸敏感資料,因為此舉會造成系統在 Request-URI 中編碼該資料。許多現有的伺服器、proxy 及使用者代理程式會把要求 URI 記錄在第三方可能看得到的地方。
此外掛程式只會在掃描原則中已啟用「PCI-DSS 合規性檢查」時執行。
解決方案
變更 Web 應用程式表單,以改用 HTTP POST。另請參閱
https://cwe.mitre.org/data/definitions/533.html
https://www.w3.org/Protocols/rfc2616/rfc2616-sec15.html#sec15.1.3
Plugin 詳細資訊
嚴重性: Medium
ID: 108807
檔案名稱: web_forms_sending_creds_using_get.nasl
版本: 1.2
類型: remote
系列: Web Servers
已發布: 2018/4/3
已更新: 2019/3/4
支援的感應器: Nessus
風險資訊
CVSS 評分論據: Score based on analysis of effect of the configuration error.
CVSS v2
風險因素: Medium
基本分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: manual
CVSS v3
風險因素: Medium
基本分數: 5.3
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
弱點資訊
必要的 KB 項目: Settings/PCI_DSS