网站漏洞之:检测到目标web应用表单密码类型输入启用了自动完成操作

描述:在web应用form表单中,如果input标签没有指定“autocomplete”属性为“off”,则“autocomplete”的属性会自动默认为“on”。当web应用form表单中的密码类型的input标签的“autocomplete”属性为“on”时,用户若提交了一个新的用户名和密码时,浏览器将会询问用户是否保存该用户名和密码信息。如果用户选择保存,则之后在显示该web应用表单时,用户名和密码将会被自动填充到对应的输入框中。用户一但保存密码,攻击者就可以通过本地从浏览器缓存中获取明文密码,导致用户敏感信息泄露。

解决方案: 指定“autocomplete”属性为“off”。

修改方法: 代码控制所有的登录部分的input的“autocomplete”属性为“off”
引用jquery并加入此行代码
<script>$('input:not([autocomplete]),textarea:not([autocomplete]),select:not([autocomplete])').attr('autocomplete', 'off');</script>

转载请说明出处:第六感博客 原文链接:

相关阅读:

网站漏洞之:possible .net error message

网站漏洞之:IIS短文件名泄露漏洞

网站漏洞之:点击劫持:X-Frame-Options未配置

网站漏洞之:检测到会话cookie中缺少HttpOnly属性