漏洞名称 : 密码明文传输
漏洞描述 : 密码明文传输一般存在于web网站登录页面,用户名或者密码采用了明文传输,容易
被嗅探软件截取。
检测条件 :1、 已知Web网站具有登录页面。
检测方法:
1、 找到网站或者web系统登录页面。
2、 通过过对网站登录页面的请求进行抓包,工具可用burp、wireshark、filder、
等等,分析其数据包中相关password(密码)参数的值是否为明文。如图利用
wireshark抓包分析的密码:
利用BURP抓包分析的密码:
修复方案:
建议按照网站的密级要求,需要对密码传输过程中进行加密得使用加密的方式传
输,如使用HTTPS, 但加密的方式增加成本,或许会影响用户体验。如果不用 HTTPS,
可以在网站前端用 Javascript 做密码加密,加密后再进行传输。
