一：漏洞名称：

密码明文传输

描述：

明文传输一般存在于web网站登陆页面，用户名密码采取明文传输并未采取加密（注意：一些软件如BurpSuite带有可加密的暴力**！）容易被嗅探软件截取(如果加密方式是常见的加密也可以解密的（比如：MD5，RSA 等--另外base64只是一种编码方式并不算是加密！)

检测条件：

已知Web网站具有登录页面

检测方法：

1. 找到网站或者web系统登录页面。
2. 通过过对网站登录页面的请求进行抓包，工具可用burp、wireshark、filder、等等，分析其数据包中相关password（密码）参数的值是否为明文。

①如图利用wireshark抓包分析的密码：

②如图利用BurpSuite抓包分析的密码：（借用这位博主的图片 Hk.Ty）

、

③如图利用火狐浏览器的F12中的“网络”模块功能并点击HTML进行筛选，抓包分析的密码

   然后点击登录即可获取到post或者get的请求头及请求主体的内容，如下图所示，就获取到了http明文登录的敏感数据了。

 

漏洞修复：

建议按照网站的密级要求，需要对密码传输过程中进行加密得使用加密的方式传输，如使用HTTPS，  但加密的方式增加成本，或许会影响用户体验。如果不用 HTTPS，可以在网站前端用 Javascript 做密码加密，加密后再进行传输。

其他补充说明：

暂无。