传输过程信息泄漏

漏洞描述：认证过程中传输未加密（用户名密码等敏感数据明文传输）。

测试方法： 

1  找到网站或者Web系统登录页面

2  通过对网站登录页面的请求进行抓包，工具可用burp、wireshark、filder、等等，分析其数据包中相关password（密码）参数的值是否为明文

风险分析：攻击者通过在局域网中嗅探网络流量，获取明文传输的认证凭证，如用户名密码、SESSIONID等敏感信息。

风险等级：

【中危】：传输数据包含明文密码、链接、明文身份证、明文地址等其他敏感信息。

【中危】：GET方式明文传输用户名密码。

【中危】：Token或者用户身份标识，以GET方式显示在URL中。

修复方案：建议按照网站的密级要求，需要对密码传输过程中进行加密得使用加密的方式传输，如使用HTTPS，  但加密的方式增加成本，或许会影响用户体验。如果不用 HTTPS，可以在网站前端用 Javascript 做密码加密，加密后再进行传输。