Question

Я проводил тестирование проникновения на стандартной установке WordPress. Постоянное беспокойство, которое я вижу, заключается в том, что WP хранит пароли в виде открытого текста в памяти браузера.

Воспроизвести:

Войдите в WordPress и выйдите из системы. Закройте эту конкретную вкладку, но держите Chrome открытым.
Создание файла дампа памяти браузера.
Откройте файл дампа и найдите пароль, затем вы увидите его открытым текстом.

Как я могу предотвратить это?

Независимо от контекста того, кто действительно просматривает пароль, использование открытого текста не может быть хорошей практикой?

Ссылка: https://cwe.mitre.org/data/definitions/316.html

Yuval Papish · Answer 1 · 15 ноября 2018

«Как я могу предотвратить это?»

Это не проблема WordPress, так как WordPress не контролирует сборку мусора клиента. Пароль исчезнет через короткое время, когда для этой задачи будет доступен механизм JavaScript.

«использование открытого текста не может быть хорошей практикой?»

Браузер передает открытый текстовый пароль в WordPress, так работает аутентификация по имени пользователя и паролю (также называемая базовой аутентификацией).

Пароль открытого текста WordPress хранится в памяти браузера

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пароль открытого текста WordPress хранится в памяти браузера

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы