¿Cuáles pueden ser las desventajas (impactos) de mantener las contraseñas en texto sin formato en el navegador web?

Navega tus respuestas
0

Mientras buscaba errores, llegué a un sitio web que muestra mi contraseña en texto sin formato cuando inspecciono el elemento cuando inicio sesión (no modifiqué cosas como cambiar el atributo de tipo al texto). Puedo ver claramente mi contraseña que acabo de escribir sin hacer nada.

¿Cómo puedo mostrar su impacto a la empresa? ¿Cómo puede un atacante abusar de esta falla?

    
pregunta Akash 15.06.2018 - 21:32
fuente

1 respuesta

4

El atacante no puede abusar de esta falla más de lo que ya puede hacer sin la falla.

Es probable que tenga la impresión de que los sitios web (y los navegadores web) que no le permiten ver la contraseña real en el HTML están protegidos contra un atacante que se pondría en contacto con su computadora al completar el formulario de inicio de sesión. Esto no es cierto ya que:

  1. Puedo usar la herramienta de inspección web para extraer la contraseña directamente (como puede hacerlo en su caso)
  2. Puedo usar la consola javascript para extraer la contraseña con métodos de acceso DOM
  3. Puedo usar el monitor de red en la herramienta de inspección web, enviar el formulario y analizar los parámetros de solicitud para extraer su contraseña

Por lo tanto, difícilmente se puede considerar una falla.

    
respondido por el Gillian 15.06.2018 - 22:14
fuente

Lea otras preguntas en las etiquetas

BCrypt Tablas para números de 6 dígitos 000000-999999 ¿Este sistema dejará de funcionar y solo permitirá a los usuarios un máximo de 25 tickets por persona?