首页> 开发问题 >网站漏洞 网站漏洞
漏洞“检测到目标web应用表单密码类型输入启用了自动完成操作”
作者:小萝卜 2019-10-10 【 漏洞BUG 】 浏览 1382
简介根据原始请求的响应内容进行判断,如果密码类型input标签的“autocomplete”属性值为“on”,或者“autocomplete”属性未设置,则认为存在漏洞。
检测到目标web应用表单密码类型输入启用了自动完成操作
1.漏洞详情
| URL | http://idm.xxxx.cn/Login |
|---|---|
| 请求方式 | GET |
| 问题参数 | |
| 判断标准 | 根据原始请求的响应内容进行判断,如果密码类型input标签的“autocomplete”属性值为“on”,或者“autocomplete”属性未设置,则认为存在漏洞。 |
| 判断详情 | 1、请求URL:http://idm.xxxx.cn/Login; 2、查找到名称为:loginform、action为:/home/login/login的form表单中,密码名为:pwd 的input标签 autocomplete 属性值为 on。 |
| URL | http://idm.xxxx.cn/en/Login |
|---|---|
| 请求方式 | GET |
| 问题参数 | |
| 判断标准 | 根据原始请求的响应内容进行判断,如果密码类型input标签的“autocomplete”属性值为“on”,或者“autocomplete”属性未设置,则认为存在漏洞。 |
| 判断详情 | 1、请求URL:http://idm.xxxx.cn/en/Login; 2、查找到名称为:loginform、action为:/en/home/login/login的form表单中,密码名为:pwd 的input标签 autocomplete 属性值为 on。 |
2.漏洞信息
| 发现日期 | 2001-01-01 |
|---|---|
| 评分 | 1 |
| 漏洞描述 | 在web应用form表单中,如果input标签没有指定“autocomplete”属性为“off”,则“autocomplete”的属性会自动默认为“on”。当web应用form表单中的密码类型的input标签的“autocomplete”属性为“on”时,用户若提交了一个新的用户名和密码时,浏览器将会询问用户是否保存该用户名和密码信息。如果用户选择保存,则之后在显示该web应用表单时,用户名和密码将会被自动填充到对应的输入框中。用户一但保存密码,攻击者就可以通过本地从浏览器缓存中获取明文密码,导致用户敏感信息泄露。 |
| 解决方案 | 修改web应用form表单中密码类型input标签的“autocomplete”属性为“off”。 示例: 1)当密码类型的input标签没有“autocomplete”属性名时, 如: <input type="password" name="password"> 则增加“autocomplete”属性为“off”即可,修改为: <input type="password" name="password" autocomplete="off"> 2) 当密码类型的input标签有“autocomplete”属性名,但其属性值为“on”时, 如: <input type="password" name="password" autocomplete="on"> 则修改“autocomplete”属性为“off”即可,修改为: <input type="password" name="password" autocomplete="off"> |
很赞哦! (1)
下一篇:php网站被镜像了的处理方法
