Passwords Nessus扫描程序返回明文凭据漏洞

我在我的一个网站上运行Nessus，它返回Web服务器传输明文凭据漏洞。这是一个低级漏洞，但我想了解它

我的网站对密码文本框进行加密，并将其发送到数据库过程，以与数据库中该用户的加密密码进行比较。因此，即使是明文，加密的密码也会被发送出去。这是否意味着此漏洞不适用于我的网站，或者我仍然允许公开密码

---

谢谢

我相信您潜在的安全问题有多个方面。如果web服务存在任何敏感性，则大多数审核都会失败

发生此漏洞的原因是您在处理密码时未使用HTTPS。表单中的密码字段。所以，是的，从技术上来说，你很容易受到影响。中间人攻击可以看到正在传输什么，并重新使用加密值。根据设计缺陷，他们还可以修改数据以引起其他动作。您至少有一个问题尚未缓解。HTTPS是防止MITM的最佳解决方案

除第一点之外，您似乎在表示您知道用户输入密码字段/框中的密码值在传输到服务器之前正在加密。如果在浏览器中使用javascript对值进行加密，则可能没有正确保护密码。客户端javascript是实现此类安全控制的糟糕方法。特别是如果没有防止MITM，但如果有人只是将加密值从web浏览器之外的某个地方粘贴到浏览器表单中并发送到服务器，那么加密的性质是一个关键点。它应该使用众所周知的现代加密协议，如AES。但是，如果任何人都可以通过MITM攻击获取价值并重新使用它，那么这是毫无意义的

---

强烈敦促通过HTTPS配置为web服务采用TLS安全性

非常感谢你。你指出了一些我忽略的东西。密码在到达服务器之前不会加密，然后与数据库中的加密密码进行比较。密码将在登录调用中公开。我将改变我的方法，使用https将数据从客户端发送到服务器。多谢各位