Пароль открытого текста WordPress хранится в памяти браузера

Question

Пароль открытого текста WordPress хранится в памяти браузера

Я проводил тестирование проникновения на стандартной установке WordPress. Постоянное беспокойство, которое я вижу, заключается в том, что WP хранит пароли в виде открытого текста в памяти браузера.

Воспроизвести:

Войдите в WordPress и выйдите из системы. Закройте эту вкладку, но оставьте Chrome открытым.
Создайте файл дампа памяти браузера.
Откройте файл дампа и найдите пароль, после чего вы увидите его открытым текстом.

Как я могу предотвратить это?

Независимо от контекста того, кто действительно просматривает пароль, использование открытого текста не может быть хорошей практикой?

Ссылка: https://cwe.mitre.org/data/definitions/316.html

-2

wordpress security browser passwords penetration-testing

Источник

user4034148 08 ноя '18 в 14:27

1 ответ

Другие вопросы по тегам wordpress security browser passwords penetration-testing

user10643214 15 ноя '18 в 11:32 2018-11-15 11:32 · Answer 1 · 2018-11-15 11:32

"Как я могу предотвратить это?"

Это не проблема WordPress, так как WordPress не контролирует сборку мусора клиента. Пароль исчезнет через короткое время, когда для этой задачи будет доступен механизм JavaScript.

"использование открытого текста не может быть хорошей практикой?"

Браузер передает открытый текстовый пароль в WordPress, так работает аутентификация по имени пользователя и паролю (также называемая базовой аутентификацией).