在测试 Web 应用程序时,我是否应该担心使用 selenium 发送纯文本密码

【问题标题】:Should I worry about sending plain text passwords with selenium when testing web applications在测试 Web 应用程序时,我是否应该担心使用 selenium 发送纯文本密码
【发布时间】:2020-04-09 19:32:57
【问题描述】:

我正在使用 Selenium Webdriver 和 Mocha 场景进行简单的 Javascript 测试,该场景登录到我的生产站点,从 UI 中清除缓存,然后退出站点。

我知道通过 https 发送纯文本密码非常安全,流量是加密的,与通过 HTTP 发送纯文本密码相比,窃听等变得更加困难。不过,我不是安全专家,但我相信即使在静止状态下也可以采取更好的方法来保护密码。

我的问题是是否需要关注使用 Selenium Webdriver 和 Mocha 通过 https 发送纯文本密码。这在某种程度上是不安全的,我可能看不到吗?

  it('clear-cache', async function() {
    // Test name: clear-cache
...
    await driver.get("https://www.thisisarealsite.co.za/user/login")
    await driver.findElement(By.id("edit-name")).click()
    await driver.findElement(By.id("edit-pass")).sendKeys("vhghxxxdxeZxxxC8hiap{")
    await driver.findElement(By.id("edit-name")).sendKeys("admin")
    await driver.findElement(By.id("edit-submit")).click()
...
  })

如果您有任何建议或意见,请告诉我,因为我是新手。

附加信息:

“摩卡”:“^5.2.0”,

"selenium-webdriver": "^4.0.0-alpha.1"

【问题讨论】:

    标签: javascript selenium mocha.js selenium4


    【解决方案1】:

    当您通过 https 发送时,它不是纯文本。换句话说,没有。但是,您应该担心将该代码留在仓库中。

    实际上,如果您使用--disable-web-security(人们会这样做),您可能会受到 MITM 攻击,但这似乎不太可能。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2015-01-16
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2011-01-24
      • 1970-01-01
      • 2011-08-18
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode