Appweb在7.0.3之前的版本中，对于digest和form两种认证方式，如果用户传入空密码，appweb将因为一个逻辑错误导致直接认证成功，并返回session。

漏洞复现

启动漏洞环境。在浏览器端访问测试目标地址，在burp suite抓包改包重放。转发修改后的包，访问浏览器，导致空密码登录成功。