機密資料洩漏

high Web App Scanning Plugin ID 114129

概要

機密資料洩漏

說明

大部分的 Web 應用程式依賴各種公開服務為使用者提供功能。在安全的設計中,使用這些私密或云端服務需要驗證,例如 API 和私密金鑰、使用者名稱和密碼型憑證,以及類似的敏感資料。

開發人員有時會在其應用程式的不同位置硬式編碼這類資料,而沒有意識到這些資料可能會在用戶端 JavaScript 或 HTML 註解等內容中公開提供。未經驗證的遠端攻擊者可利用這些敏感資訊,來取得 Web 應用程式和組織所使用之重要服務的特殊存取權限。

解決方案

找出問題的根本原因 (例如,在程式碼中手動插入資料、在前端 JavaScript 中隨附環境變數),以消除密碼洩漏問題。如果密碼曾遭惡意執行者擷取,應輪替密碼以免再重複使用。

另請參閱

https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/05-Review_Web_Page_Content_for_Information_Leakage

Plugin 詳細資訊

嚴重性: High

ID: 114129

類型: remote

已發布: 2023/12/11

已更新: 2024/2/2

掃描範本: api, basic, full, pci, scan

風險資訊

VPR

風險因素: Medium

分數: 5.5

CVSS v2

風險因素: High

基本分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: High

基本分數: 8.6

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

CVSS 評分資料來源: Tenable

參考資訊