Chrome Logger 資訊洩漏

medium Web App Scanning Plugin ID 113951

概要

Chrome Logger 資訊洩漏

說明

Chrome Logger 是一個 Google Chrome 延伸模組,用於在 Chrome 主控台中對伺服器端應用程式進行偵錯。開發人員可藉由在 Chrome 瀏覽器中安裝延伸模組,並在應用程式上安裝伺服器端程式庫,來直接在 Chrome 中擷取設定的偵錯資訊。

由於 Chrome Logger 的運作方式是透過使用 base64 編碼的回應 HTTP 標頭「X-ChromePhp-Data」或「X-ChromeLogger-Data」,將伺服器資料傳輸至用戶端,因此攻擊者可擷取使用 Chrome Logger 記錄的任何敏感資料,並利用這些資料發動進一步的攻擊。

解決方案

確保應用程式不會在生產環境中使用 Chrome Logger。如有需要,請勿在記錄中包含敏感資訊,並請強制執行權限以僅允許授權使用者讀取。

另請參閱

https://craig.is/writing/chrome-logger

Plugin 詳細資訊

嚴重性: Medium

ID: 113951

類型: remote

已發布: 2023/6/9

已更新: 2023/6/9

掃描範本: basic, full, pci, scan

風險資訊

VPR

風險因素: Low

分數: 1.4

CVSS v2

風險因素: Medium

基本分數: 5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Medium

基本分數: 5.3

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v4

風險因素: Medium

Base Score: 6.9

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

CVSS 評分資料來源: Tenable

參考資訊