it-gundan.com

일반 텍스트로 비밀번호를 표시하는 리디렉션이 보안 취약점입니까?

며칠 전에 잘 알려진 SaaS 공급자의 웹 사이트에 로그인하려고했습니다. 브라우저에서 암호 관리자를 사용 했으므로 (사용자/패스가 정확함) NoScript 플러그인 사이트에 대한 권한이 제한되어 일부 JS가 차단되었으며 전체 교환은 HTTPS를 통해 이루어졌습니다.

응답은 아래와 같이 URL을 사용하여 로그인 사이트로 다시 리디렉션되었으며 login_password 데이터도 password 입력 값으로 채워졌습니다.

.../[email protected]&login_password=REDACTED&remember_me=on

이것이 고객 지원으로 제기되는 약한 접근 방식과 나쁜 습관으로 분류됩니까, 아니면 보안 취약점으로보고되어야합니까?

최신 정보

이 회사는 원래 문제를 재현하지 못하게하는 스톱 갭 수정으로 응답했습니다.

106
markdwhite

확실히 문제가 있으며보고 할 가치가 있습니다.

HTTPS가 HSTS preloading 로 올바르게 보호되면 트래픽을 감시하는 위협 행위자가 GET을 볼 수 없습니다 내용. 그러나 HSTS는 여전히 드물기 때문에 (GET에 일반 텍스트 암호를 넣는 경우 HSTS와 같은 다른 모범 사례를 알지 못할 수 있음) 차단/다운 그레이드 위험이 다소 높을 수 있습니다.

HTTPS 설정 상태와 상관없이 원격 HTTP 서버는 거의 항상 서버 로그에 전체 GET 컨텐츠를 기록하므로 일반 텍스트 비밀번호도 서버에 기록됩니다.

[편집 : and vakus 'answer 나머지 공격 벡터를 훨씬 더 철저하게 다룹니다!]

126
Royce Williams