发送帖子请求时在表单数据中隐藏密码
在提交表单数据时,密码将以加密格式显示在表单数据内以及POST请求的参数中。
我想隐藏加密格式的密码。在Burp Suite中,显示了以下漏洞问题。 [![在此处输入图片描述] [2]] [2]
我正在使用sha-512进行加密,URL为https。我一直在搜索此文件,但发现的只是将协议从http更改为https。请帮助我解决隐藏表格数据的问题,以免在POST请求标头参数中显示密码。
1 个答案:
答案 0 :(得分:1)
在提交表单数据时,密码在表单数据内以及POST请求的参数中以加密格式可见
实际上,浏览器会显示所有已发布的数据。实际上,已代表用户完成了该请求,您必须假设用户可以看到他/她已发布的所有信息。
我想隐藏加密格式的密码。
只是将协议从http更改为https
是的,这是正确的答案,https确保对流量进行加密和服务器身份验证,并且嗅探流量的任何人将无法解密任何发布的数据。在浏览器中看到的是加密和实际传输之前的数据。
我正在使用sha-512进行加密
不是,似乎您只是对一些数据进行了哈希处理(请搜索并了解加密和哈希处理之间的区别),现在哈希已成为密码,现在您需要保护哈希。
CWE-204
您所显示的所有信息均未表明CWE-204漏洞。您所显示的是带有会话cookie和重定向URL的常规发布请求和响应。您的系统可能具有或不具有CWE-204漏洞,尽管它与您提供的数据无关。
请帮助我解决隐藏表格数据以免在POST请求标头参数中显示密码的问题
现在有一个问题:
用户提供的密码是您的密码吗,您是否想对任何第三方隐藏密码(可能会窃取流量)?然后使用https将解决问题。用户仍然可以看到发布的数据(包括密码),但是-用户提供了密码,他已经知道了。
如果要在用户不知道的情况下以表格形式传递“密码”某些系统参数?从理论上讲,您可以在服务器端加密密码,并在目标系统上解密密码。但是-用户可以再次发布加密的密码。然后,您可能宁愿使用有时间限制的JWT令牌。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?