¿Desventajas de seguridad al enviar una contraseña con GET? [duplicar]

Navega tus respuestas
1

Además de mirar por encima del hombro, si se envía una contraseña con GET en texto sin formato a través de una conexión encriptada, ¿existen desventajas de seguridad adicionales o es lo mismo que POST?

    
pregunta Crizly 30.06.2016 - 22:09
fuente

1 respuesta

7

Nunca se deben enviar datos confidenciales a través de GET.

Los datos pueden filtrarse o almacenarse por:

  • referers si vinculas a una página diferente después de iniciar sesión
  • sus registros de servidor , que es un problema si estos registros están siempre disponibles, por ejemplo, a través de LFI, configuraciones de servidor incorrectas, copias de seguridad, etc.
  • historiales de navegadores , que es un problema si varias personas usan el mismo explorador, por ejemplo, en empresas o bibliotecas públicas, o incluso en otros sitios web si la opción de rastrear el historial es una opción.
  • servidores proxy que pueden descifrar las solicitudes
  • usuarios que comparten enlaces

El CWE para este problema sería CWE-598 .

    
respondido por el tim 30.06.2016 - 22:15
fuente

Lea otras preguntas en las etiquetas

¿Estos paquetes indican actividades nefastas? ¿Cómo un hacker profesional penetraría una computadora en una red? [cerrado]