-3
BURPツールを使用して、BURPツールを使用してユーザーIDとパスワードを取得できます。 すべてのリクエストをBURPツールで渡すことで、ユーザーIDパスワードをクリアテキストで確認できます。ユーザーID BURPツールでキャプチャされたパスワード
どうすればこの問題を回避できますか?これはセキュリティ侵害であり、我々はこれを迅速に解決したいと考えています。
暗号化されたパスワードも正しいですし、侵入者のためにも機能するので、暗号化されたパスワードがどのように役立つかが示されています。
あなたはHTTP基本認証、または自家製の認証システムを使用しているように聞こえます。単にそれをしないでください。あなたのWebアプリケーションの認証がどのように機能するかを示してください。そうでなければ、これについて言えることはありません。 – CodeCaster
私たちはHTTPSのみを使用していますが、BURPのドキュメントによれば、ブラウザに証明書をインストールしたものがすべて –
のようにキャプチャされます。HTTPSを正しく使用していないようです。 @CodeCasterが示唆するように、質問_に詳細を追加してください。 – halfer