网页源代码隐藏域中存在密码

测试时遇到的问题

• • 💢会话变量泄漏
  • 💢html中隐藏域hidden

💢会话变量泄漏

漏洞描述：登录、验证等页面的隐藏域中存在密码信息。

测试方法：查看网页源代码，寻找隐藏域中是否存在密码等信息。

风险分析：攻击者通过在局域网中嗅探网络流量，获取明文传输的认证凭证，如用户名密码。

风险等级：
【高危】：隐藏域中存在密码等信息
修复方案：禁止在前端页面中保存密码等敏感信息。

💢html中隐藏域hidden

隐藏域在页面中对于用户是不可见的，在表单中插入隐藏域的目的在于收集或发送信息，以利于被处理表单的程序所使用。

基本语法：

<input type="hidden" name="field＿name" value="value">