Application Specific VulnerabilityW

Ứng dụng cụ thể dễ bị tổn thươngWASC mối đe dọa phân loạiRò rỉ thông tinNguy cơ bảo mậtNó có thể có thể bỏ qua cơ chế xác thực của ứng dụng webNguyên nhân có thểLập trình ứng dụng web không an toàn hoặc cấu hìnhCVE Reference(s)N/ACWE Reference(s)522IBM an ninh X-lực lượng tài liệu tham khảo85989Mô tả kỹ thuậtCác thuộc tính "autocomplete" đã được chuẩn hóa trong HTML5 tiêu chuẩn. Trang web W3C của tiểu bang rằng các thuộc tính có hai tiểu bang, "ngày" và "tắt", và rằng bỏ qua nó hoàn toàn là tương đương với thiết lập "on".Trang này là dễ bị tổn thương kể từ khi nó không đặt thuộc tính "autocomplete" để "tắt" cho trường "mật khẩu" các phần tử "đầu vào".Điều này có thể cho phép một người sử dụng trái phép (với địa phương truy cập vào một khách hàng ủy quyền) để tự động điền tên người dùng và mật khẩu, và do đó đăng nhập vào trang web.Sản phẩm bị ảnh hưởngN/ATài liệu tham khảo

Ứng dụng cụ thể Vulnerability WASC Threat Phân loại Thông tin rò rỉ rủi ro an ninh Nó có thể là có thể bỏ qua cơ chế xác thực các ứng dụng web của Nguyên nhân có thể không an toàn lập trình ứng dụng web hoặc cấu hình CVE Reference (s) N / A CWE Reference (s) 522 IBM An ninh X-Force Reference 85.989 Mô tả kỹ thuật Các "autocomplete" thuộc tính đã được chuẩn hóa trong tiêu chuẩn HTML5. Site của W3C nói rằng các thuộc tính có hai trạng thái, "trên" và "tắt", và rằng bỏ qua nó hoàn toàn tương đương với thiết lập nó để "vào". Trang này là dễ bị tổn thương vì nó không thiết lập các "autocomplete" cho những "off "cho các" mật khẩu "trong lĩnh vực" đầu vào "phần tử. Điều này có thể cho phép một người sử dụng trái phép (với địa phương truy cập cho một khách hàng được uỷ quyền) để tự động điền thông tin username và mật khẩu, và do đó đăng nhập vào trang web. Sản phẩm bị ảnh hưởng N / A Tài liệu tham khảo