wordpress - WordPress 明文密码存储在浏览器内存中
问题描述
我一直在对库存的 WordPress 安装进行渗透测试。我看到的一个持久性问题是 WP 在浏览器内存中存储明文密码。
重现:
登录到 WordPress,然后退出。关闭该特定标签,但让 Chrome 保持打开状态。
创建浏览器内存的转储文件。
打开转储文件并搜索密码,然后您将看到它以明文形式显示。
我怎样才能防止这种情况发生?
不管某人实际以这种方式查看密码的上下文如何,使用明文密码不是一个好习惯吗?
解决方案
“我怎样才能防止这种情况发生?”
这不是 WordPress 问题,因为 WordPress 不控制客户端的垃圾收集。当 JavaScript 引擎可用于此任务时,密码将在短时间内消失。
“使用明文密码不是一个好习惯吗?”
浏览器将明文密码传递给 WordPress,这就是用户名-密码身份验证(也称为基本身份验证)的工作方式。
推荐阅读
- java - 为什么在 DBCP2 中使用 Statement 时后续创建临时表会引发错误?
- python - 如何提高 FaceNet 的准确性
- java - 有没有办法通过 RestAssured Java 断言响应体在 Json 中具有必需的参数
- css - 有没有办法规定 css-grid 中的哪一列决定行的高度?
- c# - 如何解决运行时异常在“Esri.ArcGISRuntime.UI.Controls.MapView”类型上调用构造函数
- rxjs - 如果未发出某个值,则在 n 秒后超时
- ubuntu - 在 ubuntu 上无法从 Jenkins 访问 Sonarqube
- symfony - 表单内的 ChoiceType 发送键而不是值
- c# - JQGrid 'reloadGrid' 不会在 ASP.Net MVC 中触发
- tensorflow - 将 tf.matmul 与两个非常量输入一起使用的解决方法