发送发布请求时在表单数据中隐藏密码

Question

在提交表单数据时，密码以加密格式在表单数据中以及在 POST 请求的参数中可见。

我想隐藏加密格式的密码。在Burp Suite中，显示了以下漏洞问题。[![在此处输入图像描述][2]][2]

我使用 sha-512 进行加密，url 是 https。我一直在搜索这个，但我发现的只是将协议从 http 更改为 https。请帮助我如何解决隐藏表单数据而不显示 POST 请求标头参数中的密码的问题。

Answer 1

提交表单数据时，密码以加密格式显示在表单数据内部以及 POST 请求的参数中

事实上，浏览器会向您显示所有已发布的数据。实际上，请求是代表用户完成的，您必须假设用户可以看到他/她发布的所有信息。

我想以加密格式隐藏密码。
只是为了将协议从 http 更改为 https

是的，这是正确的答案，https 确保流量被加密并且服务器经过身份验证，任何嗅探流量的人都无法解密任何发布的数据。您在浏览器中看到的是加密和实际传输之前的数据。

我使用 sha-512 进行加密

不，似乎您只是对一些数据进行了散列（请搜索并了解加密和散列之间的区别），现在散列已成为密码，现在您需要保护散列。

CWE-204

您显示的任何内容均未表明存在 CWE-204 漏洞。您所展示的是带有会话 cookie 和重定向 url 的普通 post 请求和响应。您的系统可能存在也可能不存在 CWE-204 漏洞，尽管它与您提供的数据无关。

请帮助我如何解决隐藏表单数据而不显示 POST 请求标头参数中的密码的问题

现在有一个问题：

密码是否由用户提供？您是否想对任何 3rd 方隐藏密码（可能会嗅出流量）？然后使用 https 就可以了。用户可能仍会看到发布的数据（包括密码），但是 - 用户提供了密码，他已经知道了。

如果“密码”某些系统参数要在用户不知道的情况下在表单中传递？理论上 - 您可以在服务器端加密密码并在目标系统上解密密码。但是 - 用户可能只是再次发布加密密码。那么您可能宁愿使用限时 JWT 令牌。