Web安全防护技术之传输保护不足
2018-03-27 18:56:52 | 来源:中培企业IT培训网
9.传输保护不足
薄弱的传输保护( Insufficient Transpol't Layer Protection),是指Web应用在需要传输敏感信息时没有使用安全的传输通道,从而导致敏感信息泄漏,或被恶意篡改。
Web应用程序在编写时,由于没有进行仔细安全设计,结果没有提供保护网络数据流的措施,如身份认证、数据加密、完整性保护等,或在保护时采用了弱算法、使用过期或无效的数字证书等。如有的Web应用在身份验证过程中使用SSL/TLS协议进行保护,但是传输数据时没有使用,因此会暴露簇传输的敏感数据和会话ID等信息。