我一直在对WordPress的安装进行渗透测试。我看到的一个持久性问题是WP将明文密码存储在浏览器内存中。
要复制:
登录到WordPress,然后注销。关闭该特定标签, 但请保持Chrome打开。
创建浏览器内存的转储文件。
打开转储文件并搜索密码,然后您会看到它以明文形式出现。
如何防止这种情况发生?
不管有人以这种方式实际查看密码的上下文,使用明文密码都不是一个好习惯吗?
答案 0 :(得分:1)
“如何防止这种情况发生?”
这不是WordPress问题,因为WordPress无法控制客户端的垃圾回收。当JavaScript引擎可用于此任务时,密码将在短时间内消失。
“使用明文密码不能成为一种好习惯吗?”
浏览器将明文密码传递给WordPress,这就是用户名密码身份验证(也称为基本身份验证)的工作方式。