网页源代码隐藏域中存在密码

简介: 网页源代码隐藏域中存在密码

测试时遇到的问题

💢会话变量泄漏

漏洞描述:登录、验证等页面的隐藏域中存在密码信息。

测试方法:查看网页源代码,寻找隐藏域中是否存在密码等信息。

风险分析:攻击者通过在局域网中嗅探网络流量,获取明文传输的认证凭证,如用户名密码。

风险等级:

【高危】:隐藏域中存在密码等信息

修复方案:禁止在前端页面中保存密码等敏感信息。

💢html中隐藏域hidden

隐藏域在页面中对于用户是不可见的,在表单中插入隐藏域的目的在于收集或发送信息,以利于被处理表单的程序所使用。

基本语法:

<input type="hidden" name="field_name" value="value"> 



相关文章
修改浏览器里网页头部小图标傻瓜式教程
修改浏览器里网页头部小图标傻瓜式教程
758 0
修改浏览器里网页头部小图标傻瓜式教程
|
3月前
|
前端开发 JavaScript
前端JS控制网页复制粘贴
前端JS控制网页复制粘贴
|
7月前
|
SQL 安全 测试技术
|
前端开发 应用服务中间件 测试技术
Nginx配置下载附件让浏览器提示用户是否保存
Nginx配置下载附件让浏览器提示用户是否保存
124 0
修改浏览器主页的代码!!!!!!!!!!!!!!!
修改浏览器主页的代码!!!!!!!!!!!!!!!
150 0
|
数据采集 数据安全/隐私保护 Python
爬虫,遇到aspx动态加载的验证码怎么办?
爬虫,遇到aspx动态加载的验证码怎么办?
爬虫,遇到aspx动态加载的验证码怎么办?
|
C++
直接用IE浏览网页 VS 在“我的电脑”里访问网页——保存cookie的问题。
     直接用IE浏览网页、在“我的电脑”里输入网址,这两种方法都可以访问网页,而且“我的电脑”里输入网址输入网址后(按回车),“我的电脑”就会变成IE的形式,表面上看这两种方式是没有什么却别的,但是,如果是一个OA,里面有window.open的形式打开的窗口,并且使用cookie的方式要验证用户是否登录,那么区别就显现出来了。
904 0
|
Linux
上传网页后遇到网页乱码问题
上传网页后,打开网站碰到了乱码问题: 把Linux的默认编码调整: 代码如下: #vi    /etc/sysconfig/i18n LANG="zh_CN.
1308 0