重定向以纯文本显示密码是否存在安全漏洞？

#1 楼

绝对是有问题的-值得报告。但是，由于HSTS仍然很少见（并且，如果他们将纯文本密码放入GET中，则他们可能不了解HSTS等其他最佳做法），因此拦截/降级的风险可能会很高。

除此之外，无论HTTPS设置的运行状况如何，远程HTTP服务器几乎总是在服务器日志中记录完整的GET内容-因此这些纯文本密码也可能会记录在服务器上。

[编辑：vakus的答案将更彻底地涵盖其余的攻击媒介！]

#2 楼

这应该立即报告。

有许多可能的攻击，这些攻击可能会导致用户帐户受到损害。根据OWASP的安全漏洞，有很多方法可以被滥用。受保护的密码也可能从日志，转储和备份之类的工件中被盗。至于考虑寻找另一种服务，因为这种政策表明缺乏能力。
GET参数提交的密码将被记录到日志文件中。这意味着该服务的管理员现在可以查看纯文本的密码。这与在数据库中以纯文本格式存储密码一样糟糕。没有什么可以向用户保证管理员或特权人员不会流氓并使用用户的密码来访问其其他服务。众所周知，密码重用已不再是常见的事情。这是一个巨大的漏洞，可能会导致许多用户帐户在许多平台上遭到破坏。 Twitter曾提示所有用户更改密码，包括在没有其他用户使用相同密码的网站上（即使没有证据表明存在危害或滥用此错误的情况）。这表明如果服务器受到威胁，这可能会对用户造成严重影响。

挑剔的肩膀

附近的任何人都可以用纯文本格式查看您的密码，并可以记下它。然后，该密码可能会被用于破坏其他服务，因为密码通常会在各种服务之间重复使用。这意味着有权访问您的计算机和网络浏览器的任何人都将无需密码即可登录到您的帐户。只有在使用公共计算机的情况下，这种情况才会变得更糟。 />
HTTPS

您说该网站使用HTTPS进行操作。但是，不能保证网站正在使用预加载和HSTS。

HSTS将强制Web浏览器通过HTTPS连接加载网站。

如果网站不是使用HSTS，则网站可能无法升级到HTTPS连接。这可以通过SSL Strip完成，它将所有HTTPS链接都转换为HTTP。如果网站使用的是HSTS，则网络浏览器将自动尝试通过HTTPS加载网站，如果不能，则将拒绝通过HTTP连接。但是，即使该网站使用HSTS，如果以前从未在目标Web浏览器上打开过该网站，则SSL Strip攻击仍将起作用，因为Web浏览器尚不知道该网站只能通过HTTPS加载。
为防止这种情况，网站会使用预加载功能。对于预加载，Web浏览器将具有一个内置的网站数据库，该数据库必须通过HTTPS加载，并且绝不能通过HTTP加载。这样可以有效地防止HTTPS降级攻击。

安全审核

密码作为日志文件的一部分存储这一事实表明，公司很可能没有执行安全性审核，或者如果不是，则不是很重视公司的安全性。

HTTP Referer

Llama先生在评论中提到


GET参数也可以出现在HTTP Referrer标头中。从页面加载的任何非现场资源也可以通过引荐来源标头运送给您。


链接共享

如果出于某些原因需要将网站链接提供给其他人，例如同事，您很有可能只是将其复制并发送给该人。这将再次使此人访问您的帐户以及您的登录名和密码信息，可用于访问其他平台上的帐户。

搜索蜘蛛

搜索蜘蛛基本上是跟随网站上的每个可能链接并为其编制索引。尽管这种可能性较小，但像Google或Bing这样的搜索蜘蛛可以将公开的链接编入索引，并将其显示为网站搜索的一部分。这意味着人们可以从Google或Bing登录到您的帐户。


我将尽可能地紧急与该公司联系。这对安全的影响是巨大的，并且会影响到许多用户。

如果可能的话，我什至会考虑更改SaaS提供程序，如果公司不遵守该报告，则应该公开羞辱他们违反密码。