Критичность: ВЫСОКИЙ
Способ обнаружения: DAST, NETWORKING

Описание

Некоторые приложения используют метод GET для отправки конфиденциальной информации (пароли, идентификаторы сессий и прочие), которые передаются в строке запроса URL в виде параметров. Конфиденциальная информация в URL-адресах может регистрироваться в самых разных местах, включая:

  • веб-сервер

  • любые прямые или обратные прокси-серверы между двумя конечными точками

  • Заголовок Referrer

  • Логи Web-сервера

  • История браузера

  • Кэш браузера

URL-адреса также могут отображаться на экране, добавляться в закладки или отправляться пользователями по электронной почте. Они могут быть переданы третьим лицам через заголовок Referer при переходе по сторонним ссылкам. Размещение конфиденциальной информации в URL увеличивает риск их взлома злоумышленником.

Уязвимости, которые приводят к раскрытию конфиденциальной информации пользователей, могут привести к компрометациям, которые чрезвычайно трудно исследовать. Даже если само приложение обрабатывает только нечувствительную информацию, раскрытие такой информаци, как например, пароли, подвергает риску пользователей, которые повторно использовали его в другом месте.

Рекомендации

Все запросы, содержащие в себе чувствительную информацию, должны использовать метод POST и содержать конфиденциальную информацию в теле запроса, что может гарантировать, что она не попадет в логи Web-серверов и другие, доступные большому количеству людей, места. В случае, если нет возможности перевести метод с GET на POST запросы, можно дополнительно приметь шифрование или хэширование конфиденциальной информации для предотвращения ее компрометации.

Следующая Включение чувствительной информации в HTTPS запрос
Содержание: