首页> 开发问题 >网站漏洞 网站漏洞

漏洞“检测到目标web应用表单密码类型输入启用了自动完成操作”

作者:小萝卜 2019-10-10 浏览 1753

简介根据原始请求的响应内容进行判断,如果密码类型input标签的“autocomplete”属性值为“on”,或者“autocomplete”属性未设置,则认为存在漏洞。

检测到目标web应用表单密码类型输入启用了自动完成操作

1.漏洞详情

URL http://idm.xxxx.cn/Login
请求方式 GET
问题参数  
判断标准 根据原始请求的响应内容进行判断,如果密码类型input标签的“autocomplete”属性值为“on”,或者“autocomplete”属性未设置,则认为存在漏洞。
判断详情 1、请求URL:http://idm.xxxx.cn/Login;
2、查找到名称为:loginform、action为:/home/login/login的form表单中,密码名为:pwd 的input标签 autocomplete 属性值为 on。
URL http://idm.xxxx.cn/en/Login
请求方式 GET
问题参数  
判断标准 根据原始请求的响应内容进行判断,如果密码类型input标签的“autocomplete”属性值为“on”,或者“autocomplete”属性未设置,则认为存在漏洞。
判断详情 1、请求URL:http://idm.xxxx.cn/en/Login;
2、查找到名称为:loginform、action为:/en/home/login/login的form表单中,密码名为:pwd 的input标签 autocomplete 属性值为 on。

 

2.漏洞信息

发现日期 2001-01-01
评分 1
漏洞描述 在web应用form表单中,如果input标签没有指定“autocomplete”属性为“off”,则“autocomplete”的属性会自动默认为“on”。当web应用form表单中的密码类型的input标签的“autocomplete”属性为“on”时,用户若提交了一个新的用户名和密码时,浏览器将会询问用户是否保存该用户名和密码信息。如果用户选择保存,则之后在显示该web应用表单时,用户名和密码将会被自动填充到对应的输入框中。用户一但保存密码,攻击者就可以通过本地从浏览器缓存中获取明文密码,导致用户敏感信息泄露。
 
解决方案
修改web应用form表单中密码类型input标签的“autocomplete”属性为“off”。
示例:
1)当密码类型的input标签没有“autocomplete”属性名时,
如: <input type="password" name="password">
则增加“autocomplete”属性为“off”即可,修改为:
<input type="password" name="password" autocomplete="off">

2) 当密码类型的input标签有“autocomplete”属性名,但其属性值为“on”时,
如: <input type="password" name="password" autocomplete="on">
则修改“autocomplete”属性为“off”即可,修改为:
<input type="password" name="password" autocomplete="off">

很赞哦! (1)

文章评论

    高端网站建设