检测

使用 GET 的 Web表单发送凭据(PCI-DSS 检查)

medium Nessus 插件 ID 108807

语言:

简介

Web应用程序表单使用 HTTP GET 请求发送凭据。

描述

远程 Web应用程序具有使用 HTTP GET 请求发送凭据的表单。这会导致服务器将诸如用户名和密码等敏感信息记录到访问日志中。

使用 HTTP 协议的服务作者不得使用 GET 式表单提交敏感数据,因为这将导致在 Request-URI 中编码此数据。许多现有服务器、代理和用户代理会把请求 URI 记录在第三方可以查看的位置。

此插件仅当扫描策略中启用“检查 PCI-DSS 合规性”时才运行。

解决方案

更改 Web应用程序表单,以改用 HTTP POST。

另见

https://cwe.mitre.org/data/definitions/533.html

https://www.w3.org/Protocols/rfc2616/rfc2616-sec15.html#sec15.1.3

插件详情

严重性: Medium

ID: 108807

文件名: web_forms_sending_creds_using_get.nasl

版本: 1.2

类型: remote

系列: Web Servers

发布时间: 2018/4/3

最近更新时间: 2019/3/4

支持的传感器: Nessus

风险信息

CVSS 分数理由: Score based on analysis of effect of the configuration error.

CVSS v2

风险因素: Medium

基本分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 分数来源: manual

CVSS v3

风险因素: Medium

基本分数: 5.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

漏洞信息

必需的 KB 项: Settings/PCI_DSS