响应是使用以下URL重定向回登录站点,并且
login_password
数据也已填充为password
输入的值。 br /> 是否应该将其归类为一种弱方法,并在客户支持下提出不良做法,还是应将其报告为安全漏洞?
该公司已做出回应,采取了权宜之计,以防止复制原始问题。
#1 楼
绝对是有问题的-值得报告。但是,由于HSTS仍然很少见(并且,如果他们将纯文本密码放入GET中,则他们可能不了解HSTS等其他最佳做法),因此拦截/降级的风险可能会很高。除此之外,无论HTTPS设置的运行状况如何,远程HTTP服务器几乎总是在服务器日志中记录完整的GET内容-因此这些纯文本密码也可能会记录在服务器上。
[编辑:vakus的答案将更彻底地涵盖其余的攻击媒介!]
评论
不仅值得报告...它被完全归类为OWASP中的显式漏洞。
–森林
18年7月5日在6:53
我相信您也应该提到GET参数将作为Web浏览器历史记录的一部分存储。这意味着,如果攻击者可以物理访问您的计算机,则他们可以劫持您的帐户,或者如果您使用的是公用计算机,则可能会将密码泄露给下一个用户。
– vakus
18年7月5日在7:16
@vakus-我不确定它是否完全适用,但是GET参数也可以出现在HTTP Referrer标头中。从页面加载的任何非现场资源也可以通过引荐来源标头运送给您。
–拉玛先生
18年7月5日在17:43
@ Mr.Llama owasp.org/index.php/Password_Storage_Cheat_Sheet-常见漏洞允许通过SQL注入等攻击媒介盗窃受保护的密码。受保护的密码也可以从诸如日志,转储和备份之类的工件中窃取。
–何三月
18年7月5日在18:06
另请注意,本地浏览器历史记录可能会复制它。
– ak牛
18年7月5日在18:45
#2 楼
这应该立即报告。有许多可能的攻击,这些攻击可能会导致用户帐户受到损害。根据OWASP的安全漏洞,有很多方法可以被滥用。受保护的密码也可能从日志,转储和备份之类的工件中被盗。至于考虑寻找另一种服务,因为这种政策表明缺乏能力。
GET参数提交的密码将被记录到日志文件中。这意味着该服务的管理员现在可以查看纯文本的密码。这与在数据库中以纯文本格式存储密码一样糟糕。没有什么可以向用户保证管理员或特权人员不会流氓并使用用户的密码来访问其其他服务。众所周知,密码重用已不再是常见的事情。这是一个巨大的漏洞,可能会导致许多用户帐户在许多平台上遭到破坏。 Twitter曾提示所有用户更改密码,包括在没有其他用户使用相同密码的网站上(即使没有证据表明存在危害或滥用此错误的情况)。这表明如果服务器受到威胁,这可能会对用户造成严重影响。
挑剔的肩膀
附近的任何人都可以用纯文本格式查看您的密码,并可以记下它。然后,该密码可能会被用于破坏其他服务,因为密码通常会在各种服务之间重复使用。这意味着有权访问您的计算机和网络浏览器的任何人都将无需密码即可登录到您的帐户。只有在使用公共计算机的情况下,这种情况才会变得更糟。 />
HTTPS
您说该网站使用HTTPS进行操作。但是,不能保证网站正在使用预加载和HSTS。
HSTS将强制Web浏览器通过HTTPS连接加载网站。
如果网站不是使用HSTS,则网站可能无法升级到HTTPS连接。这可以通过SSL Strip完成,它将所有HTTPS链接都转换为HTTP。如果网站使用的是HSTS,则网络浏览器将自动尝试通过HTTPS加载网站,如果不能,则将拒绝通过HTTP连接。但是,即使该网站使用HSTS,如果以前从未在目标Web浏览器上打开过该网站,则SSL Strip攻击仍将起作用,因为Web浏览器尚不知道该网站只能通过HTTPS加载。
为防止这种情况,网站会使用预加载功能。对于预加载,Web浏览器将具有一个内置的网站数据库,该数据库必须通过HTTPS加载,并且绝不能通过HTTP加载。这样可以有效地防止HTTPS降级攻击。
安全审核
密码作为日志文件的一部分存储这一事实表明,公司很可能没有执行安全性审核,或者如果不是,则不是很重视公司的安全性。
HTTP Referer
Llama先生在评论中提到
GET参数也可以出现在HTTP Referrer标头中。从页面加载的任何非现场资源也可以通过引荐来源标头运送给您。
链接共享
如果出于某些原因需要将网站链接提供给其他人,例如同事,您很有可能只是将其复制并发送给该人。这将再次使此人访问您的帐户以及您的登录名和密码信息,可用于访问其他平台上的帐户。
搜索蜘蛛
搜索蜘蛛基本上是跟随网站上的每个可能链接并为其编制索引。尽管这种可能性较小,但像Google或Bing这样的搜索蜘蛛可以将公开的链接编入索引,并将其显示为网站搜索的一部分。这意味着人们可以从Google或Bing登录到您的帐户。
我将尽可能地紧急与该公司联系。这对安全的影响是巨大的,并且会影响到许多用户。
如果可能的话,我什至会考虑更改SaaS提供程序,如果公司不遵守该报告,则应该公开羞辱他们违反密码。
评论
使用HackerOne服务使用您和Royce的答案中提供的一些评论进行了报告。目前,我受赏金计划的机密性条件的约束,但会在可能的情况下在此处进行更新。谢谢。
–markedwhite
18年7月5日在9:17
@vakus:“但是HTTPS可以降级为HTTPS”中是否有错字?对我来说这没有任何意义。
–奈杰尔Touch
18年7月5日在10:10
@NigelTouch你是对的,我没有注意到,因为我在手机上写下了整个答案
– vakus
18年7月5日在10:11
你的英语很好。像上面提到的错别字在母语人士中也很常见。很好的答案! +1
– jpmc26
18年7月6日在0:41
@vakus与我遇到的大多数以英语为母语的人相比,您的回答读起来更好。
– on麋
18年7月7日在20:30
评论
请给我起名和丢脸。“已编辑”是一个非常错误的密码。您应该知道不要使用词典词。 ;-)
无论如何显示,明文密码始终是有问题的...
谷歌搜索牢记参数为Symfony带来了很多结果,因此SaaS提供商的网站可能正在使用该软件。 @markdwhite只是好奇,这是Dropbox吗?
只要在同一句子中看到单词“ password”和“ plain text”,就会使任何人自动畏缩,无论该句子是关于什么的。