Check for attribute autocomplete=”off” within the FORM tag.
This is often ignored by the latest web browser versions. This can still be necessary for PCI compliance.
https://portswigger.net/kb/issues/00500800_password-field-with-autocomplete-enabled
- Look for passwords being stored in a cookie. Examine the cookies stored by the application. Verify that the credentials are not stored in clear text, but are hashed.
- Examine the hashing mechanism: if it is a common, well-known algorithm, check for its strength; in homegrown hash functions, attempt several usernames to check whether the hash function is easily guessable.
- Verify that the credentials are only sent during the log in phase, and not sent together with every request to the application.
- Consider other sensitive form fields (e.g. an answer to a secret question that must be entered in a password recovery or account unlock form).
Reporting
| CVSS Score v3 | 0 |
| CVSS Vector v3 | N/A (Info level) |
English
| Title | Password Autocomplete enabled |
| Description | Most browsers have a facility to remember user credentials that are entered into HTML forms. This function can be configured by the user and also by applications that employ user credentials. If the function is enabled, then credentials entered by the user are stored on their local computer and retrieved by the browser on future visits to the same application. The stored credentials can be captured by an attacker who gains control over the user’s computer. Further, an attacker who finds a separate application vulnerability such as cross-site scripting may be able to exploit this to retrieve a user’s browser-stored credentials. |
| Steps to reproduce | |
| Remediation | To prevent browsers from storing credentials entered into HTML forms, include the attribute autocomplete=”off” within the FORM tag (to protect all form fields) or within the relevant INPUT tags (to protect specific individual fields). Please note that modern web browsers may ignore this directive. In spite of this there is a chance that not disabling autocomplete may cause problems obtaining PCI compliance. |
French
| Title | “Autocomplete” activé pour le mot de passe |
| Description | La plupart des navigateurs ont une fonctionnalité permettant de mémoriser les informations de connexion de l’utilisateur (nom d’utilisateur et mot de passe) lorsqu’entrées dans un formulaire. Cette fonctionnalité peut être configurée par l’utilisateur et par l’application également. Lorsque la fonctionnalité est activée, les informations de connexion sont conservées dans l’ordinateur de l’utilisateur et sont accédées par le navigateur lorsque le site/application est visité par la suite. Ces informations peuvent être accédées par une personne mal intentionnée qui obtiendrait le contrôle sur l’ordinateur de l’utilisateur. Cette personne pourrait aussi se connecter à l’application sans connaître les informations de connexion simplement en visitant le site/application à partir de l’ordinateur de l’utilisateur. D’autres vulnérabilités de l’application telles que le XSS pourraient également permettre d’accéder ces informations. |
| Steps to reproduce | |
| Remediation | Il est recommandé d’ajouter la balise HTML autocomplete=”off” dans le formulaire (dans form ou dans input). La difficulté de correction est évaluée à “Simple”. |