English

◀◁ 뒤로 취약점ID 21775 위험도 20 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹 서버에는 HTML 폼에서 패스워드를 포함하는 AutoComplete 기능을 사용하는 웹 페이지가 존재한다. HTML Form들은 사용자와 서버 간에 정보 교환을 위한 중요한 구성요소이다. 다양한 웹 브라우저들은 AutoComplete라 불리는 통합된 기능을 가지고 있는데, 이는 사용자들이 재빨리 폼 필드(Form field)에 정보를 입력할 수 있게 도와준다. HTML Form들에 있는 AutoComplete는 INPUT text 그리고 INPUT password 필드들에 입력된 정보를 컴퓨터의 하드 디스크에 안전하게 저장한다. 사용자가 어떤 웹 페이지를 방문한 다음 번에 동일한 이름을 가지고 Text 필드에 타이핑을 시작하면 AutoComplete 기능은 이전에 사용한 데이터의 리스트를 사용자에게 제시하는 AutoComplete 박스를 띄워 주고 선택하게 한다. (예를 들어, 공공 도서관, 대학의 컴퓨터 실습실에 있는) 공용 컴퓨터나 오래된 운영체제들, 그리고 사용자가 컴퓨터를 잠그지 않고 자리를 비울 때와 같은 많은 경우들에 있어, 패스워드가 이용 가능하거나 유출될 수 있다. * 영향을 받는 플랫폼: 모든 HTTP 서버 모든 버전 모든 운영체제 모든 버전 해결책 디폴트로 AUTOCOMPLETE는 활성화되어 있다. INPUT password 필드들을 포함하는 모든 웹 폼에서 반드시 AUTOCOMPLETE="OFF" 옵션을 사용하게 하여야 한다. 예) <form action="login.php" method="GET" AUTOCOMPLETE="OFF"> <input type="password" name="password">Passwd<p> <input type="Submit" name="submit"> </form> 마이크로소프트 Internet Explorer 브라우저 상에서 AutoComplete를 완전히 작동 중지시키기 위해서는: 아래로 펼쳐지는 윈도우를 통한 사용자 명, 패스워드 및 다른 정보를 보지 않고자 한다면 Windows 상에서 다음과 같이 하여 작동 중지시킬 수 있다. 1. Internet Explorer를 연다. 2. 도구 메뉴에서 인터넷 옵션을 선택한다. 3. 내용 탭을 클릭한다. 4. 자동 완성 버튼을 클릭한다. 5. '웹 주소', '폼', 그리고 '폼에 사용할 사용자 이름과 암호'로 이름된 옵션 박스들에서 체크 마크를 없앤다. 6. 폼 지우기 버튼을 클릭한다. 7. 암호 지우기 버튼을 클릭한다. 8. 확인을 클릭한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)