Quali possono essere gli svantaggi (impatti) di mantenere le password in testo semplice nel browser web?

Naviga le tue risposte
0

Durante la ricerca di bachi, sono atterrato su un sito Web che mostra la mia password in testo normale quando controllo l'elemento quando eseguo l'accesso (non ho modificato le cose come modificare l'attributo type in testo). Posso vedere chiaramente la mia password che ho appena digitato senza fare nulla.

Come posso mostrare il suo impatto all'azienda? Come può un attaccante abusare di questo difetto?

    
posta Akash 15.06.2018 - 21:32
fonte

1 risposta

4

L'attaccante non può abusare di questo difetto più di quello che può fare già senza il difetto.

Probabilmente hai l'impressione che i siti web (e i browser web) che non ti permettono di vedere la password effettiva nell'HTML siano protetti contro un utente malintenzionato che si impadronisce del tuo computer durante la compilazione del modulo di accesso. Questo non è vero poiché:

  1. Posso usare lo strumento web inspector per estrarre a volte la password direttamente (come puoi nel tuo caso)
  2. Posso usare la console javascript per estrarre la password con i metodi di accesso DOM
  3. Posso utilizzare il monitor di rete nello strumento web inspector, inviare il modulo e analizzare i parametri della richiesta per estrarre la password

Quindi difficilmente può essere considerato un difetto.

    
risposta data 15.06.2018 - 22:14
fonte

Leggi altre domande sui tag

nmap traceroute mostra solo un salto indipendentemente dall'obiettivo Dove si trova l'hashing utilizzato nell'handshake TLS