安全测试之传输层保护不足
来源:互联网 发布:mysql建立数据库 编辑:程序博客网 时间:2024/05/29 19:18
一、传输层保护不足的概念
在身份验证过程中没有使用SSL/TLS或者使用SSL/TLS不正确,因此暴露传输数据和会话ID,被攻击者截听。它们有时还会使用过期或者配置不正确的证书。
二、传输层保护不足的后果
传输层保护不足,会暴露传输的数据,导致数据被窃听,账号被盗等,如果是管理员的账号面临这个问题,那么将会导致整个网站处于数据暴露的状态,将对网站和用户造成严重的甚至无法挽回的损失。
三、传输层保护不足的防御措施
对所有敏感的页面使用SSL,非SSL请求的页面应该被重定向到SSL请求的页面。
对所有敏感的Cookie,设置“secure”的flag。
保证SSL的提供商只支持强大的算法,这样就不能够被轻易破解。(使用标准的强算法)
确保您的证书是有效的,不过期,不被撤销,并匹配这个网站使用的所有域。
后台和其他的连接也应该使用SSL或其他加密技术。
即使是开发者的注释也应该很好的被保护,防止信息泄露。
更多内容可参考: http://www.hkaco.com/software/veracode/directory_owasp-top-10.html
0 0
- 安全测试之传输层保护不足
- 传输层安全
- 传输层安全协议抓包分析之SSL/TLS
- 传输层安全协议抓包分析之SSL/TLS
- 传输层安全协议详解
- TLS安全传输层协议
- TLS:安全传输层协议
- 网络传输:使用 HTTPS 保护网站安全
- 网络传输:使用 HTTPS 保护网站安全
- 计算机网络之传输层
- 应用层/安全层/传输层如何进行协议选型?
- 应用层/安全层/传输层如何进行协议选型
- 2.4 传输层的安全威胁
- 什么是TLS协议(传输层安全)
- 传输层安全协议TLS/SSL
- TLS——安全传输层协议
- 传输层之TCP协议
- 计算机网络之传输层总结
- list<T>作为datagridview的datasource
- ElasticSearch学习
- laravel之模板使用
- python threading中处理主进程和子线程的关系
- VPN——代理技术
- 安全测试之传输层保护不足
- uboot编译
- Runtime.addShutdownHook用法
- 软件开发管理: 公司战略决策
- V4L2框架分析学习
- 图文详解YUV420数据格式
- 手机 电墨水
- 递归式求解的三种方法
- 查询短信数据库的相关常量及案例