未加密的密碼表單

medium Web App Scanning Plugin ID 98082

語系：

概要

未加密的密碼表單

說明

HTTP 通訊協定本身為純文字，這表示使用者可擷取透過 HTTP 傳輸的任何資料並檢視內容。

為確保資料私密以及防止資料遭攔截，通常會透過安全通訊端層 (SSL) 或傳輸層安全性 (TLS) 來建立 HTTP 通道。當使用其中任何一個加密標準時，其稱為 HTTPS。

網路不法份子通常會嘗試入侵使用 HTTP 從用戶端傳送至伺服器的憑證，這可透過各種不同的攔截式 (MiTM) 攻擊或透過網路封包擷取來完成。

掃描程式發現受影響的頁面含有「password」輸入，但是此欄位的值並未使用 HTTPS 傳送至伺服器。因此，任何已提交的憑證都有可能遭到入侵。

解決方案

應使用最新且最安全的加密通訊協定來保護受影響的網站，其中包括 SSL 3.0 版本和 TLS 1.2 版本。雖然 TLS 1.2 是最受喜愛的最新通訊協定，但並非所有瀏覽器都支援此加密方法，因此納入了較常見的 SSL。另外，也應停用較舊的通訊協定，例如 SSL 第 2 版和不安全的加密演算法 (< 128 位元)。