检测到目标web应用表单密码类型输入启用了自动完成操作

最新推荐文章于 2023-03-04 18:07:57 发布
最新推荐文章于 2023-03-04 18:07:57 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 经验交流 心得分享 学习日记 文章标签: java 服务器 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W_Y_L_/article/details/106326241
版权

描述:

在web应用form表单中,如果input标签没有指定“autocomplete”属性为“off”,则“autocomplete”的属性会自动默认为on。当web应用form表单中的密码类型为input标签,autocomplete属性为on时,用户若提交了一个新的用户名和密码时,浏览器将会询问是否保存该用永久名和密码信息,如果用户选择保存,则之后在显示该web表单时,用户名和密码将会自动填充到对应的输入框中,用户名一旦保存密码,攻击者就可以通过本地浏览器缓存中获取明文密码,导致用户密码敏感信息泄露。

 

解决方案:

修改web应用form表单中密码类型input标签的“autocomplete”属性为“off”。 示例:

1)当密码类型的input标签没有“autocomplete”属性名时,如: <input type="password" name="password"> 则增加“autocomplete”属性为“off”即可,修改为: <input type="password" name="password" autocomplete="off">

2) 当密码类型的input标签有“autocomplete”属性名,但其属性值为“on”时,如: <input type="password" name="password" autocomplete="on"> 则修改“autocomplete”属性为“off”即可,修改为: <input type="password" name="password" autocomplete="off">

_蒹葭苍苍
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
分享一下修复项目漏洞步骤
IT_master8888的博客
02-06 3199
项目漏洞修复步骤: Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞 <shiro.version>1.6.0</shiro.version> 检测目标站点存在javascript框架库漏洞 jquery-3.5.1.js 检测目标主机可能存在缓慢的HTTP拒绝服务攻击 设置Tomcat / server.xml文件 connectiontimeout 值,默认为20000ms,修改为8000ms(Tomcat 自身安全漏洞) A...
解决浏览器记住密码输入框的问题
热门推荐
imdennisleung的专栏
04-22 2万+
使用HTML属性 autocompleteoff 使用js在页面加载的时候设置input的value为空 增加input typepassword 增加form 最终解决方案 Summary 在浏览器中提交表单后,浏览器一般会提示“是否需要记住密码”,确认后在下次提交表单的时候会自动填充某些输入框。但是在某些情景下(例如在提现,充值的页面),自动填充密码就很不安全。需要采用一定的手段来阻止浏览器自动
web安全 应用表单密码类型输入启用自动完成操作
金溪的博客
09-13 6347
描述: 在web应用form表单中,如果input标签没有指定“autocomplete”属性为“off”,则“autocomplete”的属性会自动默认为on。当web应用form表单中的密码类型为input标签,autocomplete属性为on时,用户若提交了一个新的用户名和密码时,浏览器将会询问是否保存该用永久名和密码信息,如果用户选择保存,则之后在显示该web表单时,用户名和密码将会自...
输入自动完成
johncools的博客
12-21 870
V0.1(2006-11-10) 纯JS,无须再加CSS 支持键盘鼠标 仅IE6+V0.2(2006-11-16) 修复了多个控件的下拉不隐藏的BUG 修改下拉背景的透明问题  HTML> HEAD>  TITLE>AutoCompleteTITLE>  META NAME="Generator" CONTEN
获取应用服务器信息出错,第三方安全扫描报告问题处理汇总
weixin_42512613的博客
08-05 1068
IIS短文件名泄露漏洞(高危)该漏洞属于OS的IIS7.5以下版本都存在,需要安装微软的专项补丁:1、修改注册列表(可在开始中运行cmd命令,输入regedit,按回车)HKLM¥SYSTEM¥CurrentControlSet¥Control¥FileSystem¥NtfsDisable8dot3NameCreation的值为1,再重启服务器。(此修改只能禁止NTFS8.3格式文件名创建,已经存...
C# Selenium WEB自动化工具的使用 -如何避免登录时总是要验证
最新发布
中老年程序员
03-04 825
②这里打开阿里云,但是打开之后还是需要输入账号密码登录,没有加载浏览器配置文件,百度到有人说登录进入之后就不需要再次登录了,但是我试过没有效果(执行脚本时需要关掉谷歌浏览器,不然可能会报错)此电脑 --》 右键属性 --》点击高级系统设置 --》环境变量 --》选中Path,点击编辑 --》点击新建,将刚刚复制的路径粘贴上去一路点击确认下来即可。点击后会自动定位到元素代码,选中右键 -->点击Copy,复制需要的相应内容,我这里用的谷歌,不同浏览器可能复制xpath的位置会不同。//切换到ifram。
如何禁用Web表单字段/输入标签上的浏览器自动完成功能?
p15097962069的博客
12-02 880
如何在主要浏览器中为特定input (或form field )禁用autocomplete ?
自动填写用户名密码表单
01-27
综上所述,实现“自动填写用户名密码表单”功能涉及到多个技术层面,包括自动填充服务的实现、数据存储、权限管理、Webview配置以及原生与Web的交互。通过熟练掌握这些知识点,开发者可以为用户提供更加便捷和安全的...
全国职称计算机考试Internet应用.pdf
10-13
23. **禁用自动完成**:在“内容”选项卡中取消表单密码自动完成。 24. **安全级别设置**:在“安全”选项卡中设置不同级别的安全策略。 25. **信任站点设置**:在“受信任的站点”区域添加特定网站。 26. **...
网管教程 从入门到精通软件篇.txt
04-25
如果系统检测到无效或非标准分区表标记,将提示用户是否继续执行该命令。除非您访问驱动器有问题,否则不要继续进行。向系统分区写入新的主引导记录可能破坏分区表并导致分区无法访问。  format  将指定的驱动器...
web安全技术心得手册
10-14
路径遍历漏洞是指攻击者通过构造特殊请求来访问服务器上的任意文件,这种攻击通常发生在Web应用程序没有对用户输入进行充分验证的情况下。 **1.2 发现路径遍历漏洞** 检测路径遍历漏洞的方法包括: - 使用诸如“.....
超实用的jQuery代码段
03-04
全书分为11章,包含网页效果、DOM元素与属性、HTML事件、CSS样式、用户输入自动完成、拖放、图形图像、AJAX、算法、jQuery Mobile应用、浏览器、Cookies等jQuery技术内容,对提高网站开发人员和设计人员的jQuery技术...
autocomplete 属性规定输入字段是否应该启用自动完成功能。
关注前端开发
08-08 987
定义和用法 autocomplete 属性规定输入字段是否应该启用自动完成功能。 自动完成允许浏览器预测对字段的输入。当用户在字段开始键入时,浏览器基于之前键入过的值,应该显示出在字段中填写的选项。 注释:autocomplete 属性适用于 &lt;form&gt;,以及下面的 &lt;input&gt; 类型:text, search, url, telephone, email, pa...
在浏览器控件中启用自动完成功能
蒋晟的专栏
01-09 2390
自动完成功能在浏览器控件中默认是禁用的(但是没有任何文档提到这一点……),但是可以通过实现IDocHostUIHandler,在GetHostInfo方法中在填充DOCHOSTUIINFO结构的dwFlags成员时设置DOCHOSTUIFLAG_ENABLE_FORMS_AUTOCOMPLETE标识位来启用。关于如何实现IDocHostUIHandler,可以参考http://www.csdn
web漏洞解决办法
weixin_34209406的博客
09-28 2808
为什么80%的码农都做不了架构师?>>> ...
安全问题-密码输入表单允许记录密码
大河向东流的博客
10-24 687
漏洞问题检测(上图): 解决办法: 阿里云推荐的技术参考网址 https://developer.mozilla.org/en-US/docs/Web/Security/Securing_your_site/Turning_off_form_autocompletion 参考了一下,是因为input或form标签需要给属性,不然浏览器会直接默认记住密码,被不法分子滥用。 主要是三个,给aut...
表单自动完成
liaojs66的博客
07-19 566
1、需引入  jquery-ui-1.12.1.js,jquery-ui-1.12.1.css 2、         var cache = {};         var option = {                 source: function( request, response ) {                     var key = request
SQL注入攻击检测:基于Web应用的研究
SQL注入攻击通常发生在Web应用处理用户输入时,不法分子通过输入恶意构造的SQL代码,使得应用程序执行非预期的数据库操作。例如,一个简单的登录表单如果没有正确过滤用户输入,攻击者可能输入" OR '1'='1' --",...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值