Help us learn about your current experience with the documentation. Take the survey.
通过 HTTP 的不安全认证(基本认证)
描述
目标应用程序被发现使用 HTTP 上的基本认证方案来认证用户。
基本认证会对用户名和密码进行 base64 编码,并将其发送在 Authentication 头部中。
位于客户端和服务器通信路径之间(或在同一本地网络)的攻击者
可以使用数据包嗅探器来读取和解码用户名和密码。
修复建议
如果可能,切换到更强大的用户认证方法,例如 OAuth 2.0,或者将用户名和密码存储在由 Argon2id 算法保护的数据存储中。如果必须使用基本认证,请确保凭据仅通过安全通道(如 HTTPS/TLS)传输。
详细信息
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 287.1 | false | 287 | Passive | Medium |