程式碼安全測試第十三期:敏感資訊的明文傳輸漏洞
一、什麼是敏感資訊的明文傳輸漏洞?
程式在通訊時以明文形式傳輸敏感或重要資料,這些資料可能被未經授權的攻擊者嗅探。簡單點來說就是當我們在網站上面提交敏感資料到伺服器的過程中未進行相關加密處理,導致攻擊者透過代理攻擊方式(劫持、嗅探等)即可獲取到這些未加密的敏感資料。
二、敏感資訊的明文傳輸漏洞的構成條件有哪些?
滿足以下條件, 就構成了一個敏感資訊明文傳輸的安全漏洞 :
1、從socket中獲取到敏感資訊且未加密;
2、直接將未加密的敏感資訊進行傳輸。
三、敏感資訊的明文傳輸漏洞會造成哪些後果?
關鍵詞:讀取應用程式資料;修改檔案或目錄
當攻擊者獲取到這些資料之後,就可以用這些資訊以合法使用者的身份進入到應用系統中——甚至可能進入到應用系統後臺中,一旦進入到應用系統中那麼就可以獲取更多的敏感資料,以及更有機會發現更多的漏洞。
四、敏感資訊的明文傳輸漏洞的防範和修補方法有哪些?
1、在傳輸之前使用可靠的加密演算法對資料進行加密;
2、將伺服器配置為使用加密通道進行通訊,其中可能包括SSL或其他安全協議。
五、敏感資訊的明文傳輸漏洞樣例:
敏感資訊的明文傳輸在CWE中被編號為
CWE-319: Cleartext Transmission ofSensitive Information
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2775333/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 程式碼安全測試第十二期:LDAP注入漏洞LDA
- 程式碼安全測試第十五期:跨站指令碼漏洞指令碼
- 程式碼安全測試第三期:路徑遍歷漏洞的防範與檢測
- 程式碼安全測試第十八期:呼叫System.exit()存在安全漏洞
- 程式碼安全測試第十期:日誌偽造漏洞
- 程式碼安全測試第十一期:記憶體洩漏漏洞記憶體
- 程式碼安全測試第十六期:使用不安全的隨機值漏洞隨機
- 程式碼安全測試第十九期:用不安全的授權建立臨時檔案漏洞
- 程式碼安全測試第二十三期:對XML外部實體引用的不當限制漏洞XML
- 程式碼安全測試第十七期:物件只定義了Equals和Hashcode方法之一的漏洞物件
- 程式碼中的敏感資訊加密方案加密
- 敏感資訊打碼就安全了嗎?
- Emlog漏洞————敏感資訊洩露
- 程式碼安全測試第七期:不安全的反射漏洞缺陷反射
- 程式碼安全測試第十四期:使用已破解或危險的加密演算法導致的漏洞加密演算法
- 網站安全公司 滲透測試中的漏洞資訊蒐集網站
- 程式碼安全測試第六期:XPath注入漏洞
- 行業動態資訊整合 - 第十三期行業
- 通訊原理中碼元,碼元傳輸速率,資訊傳輸速率
- 程式碼安全測試第二十期:資源未關閉/釋放漏洞
- 每日安全資訊:谷歌發現 G Suite 漏洞,部分密碼明文儲存長達十四年谷歌UI密碼
- 程式碼安全測試第五期:OS命令注入漏洞
- 網站漏洞測試 檔案上傳漏洞的安全滲透與修復網站
- JS敏感資訊洩露:不容忽視的WEB漏洞JSWeb
- 程式碼安全測試第四期:可逆的單向雜湊漏洞
- 如何替代傳統的方式,提高能源企業敏感檔案傳輸的安全性?
- 程式碼安全測試第二十八期:未使用的變數缺陷漏洞變數
- 程式碼安全測試第二期:URL重定向(跳轉)漏洞
- TCP 的連線建立與關閉狀態及資料傳輸通訊過程【含有 PHP 測試實驗程式碼】TCPPHP
- 程式碼安全測試第九期:Switch中省略了break語句導致的程式碼缺陷漏洞
- 程式碼安全 兩種程式碼漏洞
- 程式碼安全測試第一期:什麼是SQL隱碼攻擊漏洞?SQL
- 程式碼安全測試第二十二期:HTTP響應拆分漏洞HTTP
- 滲透測試之CSRF程式碼漏洞的檢測與加固方案
- 程式碼安全測試第二十六期:透過錯誤訊息導致的資訊暴露
- 網站安全測試之APP滲透測試漏洞網站APP
- 程式碼安全測試第二十四期:數字型別的不正確轉換漏洞型別
- 程式碼安全測試第二十一期:從finally塊中return漏洞