未加密的密码表单
medium Web App Scanning 插件 ID 98082
语言:
简介
未加密的密码表单描述
HTTP 协议本身是明文传输的,这意味着通过 HTTP 协议传输的任何数据都可能被截获,并且其内容可以被查看。如要保护数据隐私并防止其被截获,HTTP 通常会通过安全套接字层 (SSL) 或传输层安全 (TLS) 进行加密传输。当使用这两种加密标准中的任意一种时,这种协议被称为 HTTPS。
网络犯罪分子经常尝试利用 HTTP 协议,来试图破坏从客户端传递到服务器的凭据。这可以通过各种不同的中间人 (MiTM) 攻击或通过网络数据包捕获的方式来进行。
扫描程序发现受影响的页面包含“password”输入,但是该字段的值未发送到使用 HTTPS 的服务器。因此,任何提交的凭据都可能遭到破坏。
解决方案
受影响的站点应利用最新、最安全的加密协议来进行保护。其中包括 SSL 版本 3.0 和 TLS 版本 1.2。尽管 TLS 1.2 是最新也是首选的协议,但并非所有浏览器都支持此加密方法。因此,更常见的做法是包含 SSL。此外,SSL 版本 2 和弱密码(小于 128 位)等较旧的协议也应被禁用。另见
http://www.owasp.org/index.php/Top_10_2010-A9-Insufficient_Transport_Layer_Protection
插件详情
严重性: Medium
ID: 98082
类型: remote
发布时间: 2017/3/31
最近更新时间: 2022/3/3
扫描模板: basic, full, overview, pci, scan
风险信息
VPR
风险因素: Low
分数: 2.2
CVSS v2
风险因素: Medium
基本分数: 5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 分数来源: Tenable
CVSS v3
风险因素: Medium
基本分数: 5.3
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVSS 分数来源: Tenable
CVSS v4
风险因素: Medium
Base Score: 6.3
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
CVSS 分数来源: Tenable
参考资料信息
OWASP: 2010-A9, 2013-A6, 2017-A3, 2021-A2
WASC: Insufficient Transport Layer Protection
DISA STIG: APSC-DV-000170, APSC-DV-001750
HIPAA: 164.312(a), 164.312(e)
ISO: 27001-A.10.1.1, 27001-A.14.1.2, 27001-A.14.1.3, 27001-A.18.1.5
NIST: sp800_53-IA-5(1), sp800_53-SC-13
OWASP API: 2019-API7, 2023-API8
OWASP ASVS: 4.0.2-9.1.1
PCI-DSS: 3.2-6.5.4