Web安全防护技术之传输保护不足

9.传输保护不足

薄弱的传输保护( Insufficient Transpol't Layer Protection)，是指Web应用在需要传输敏感信息时没有使用安全的传输通道，从而导致敏感信息泄漏，或被恶意篡改。

Web应用程序在编写时，由于没有进行仔细安全设计，结果没有提供保护网络数据流的措施，如身份认证、数据加密、完整性保护等，或在保护时采用了弱算法、使用过期或无效的数字证书等。如有的Web应用在身份验证过程中使用SSL/TLS协议进行保护，但是传输数据时没有使用，因此会暴露簇传输的敏感数据和会话ID等信息。