[在最近执行一次抓取过程中,Burp报告了明文提交的密码CWE-319,但报告中的证据仅是不存在页面的先前GET请求,该请求通过HTTPS重定向到包含以下格式的登录页面,其中包含密码类型字段。
该表单本身没有“ action”属性,其提交由JavaScript处理,该javascript通过HTTPS提交表单内容。 Burp错误地将包含表单的重定向的URL(如HTTP一样)分配给表单操作(无论如何是按报告)。我的日志中没有任何表单提交的记录。这是误报,还是我误会了?
如果它是假阳性,那么Burp为什么将其识别为假阳性。另一方面,如果准确的话,我想念的是什么?