使用 GET 方法提交的密碼

medium Web App Scanning Plugin ID 98146

概要

使用 GET 方法提交的密碼

說明

掃描程式可偵測到應用程式使用 HTTP GET 方法來傳輸密碼,URL 的資訊可儲存在多個位置 (Web 伺服器、Proxy 等),且可透過 Referer 標頭傳輸至第三方,而這也會增加遭攻擊者攔截的機會。

解決方案

提交密碼以及一般用來傳輸敏感資訊的任何表單時,必須使用 HTTP POST 方法。

另請參閱

https://owasp.org/www-community/vulnerabilities/Information_exposure_through_query_strings_in_url

Plugin 詳細資訊

嚴重性: Medium

ID: 98146

類型: remote

已發布: 2023/2/8

已更新: 2023/2/8

掃描範本: basic, full, overview, pci, scan

風險資訊

VPR

風險因素: Low

分數: 1.4

CVSS v2

風險因素: Medium

基本分數: 5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Medium

基本分數: 5.3

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 評分資料來源: Tenable

參考資訊