程式碼安全測試第十三期：敏感資訊的明文傳輸漏洞

一、什麼是敏感資訊的明文傳輸漏洞?

程式在通訊時以明文形式傳輸敏感或重要資料，這些資料可能被未經授權的攻擊者嗅探。簡單點來說就是當我們在網站上面提交敏感資料到伺服器的過程中未進行相關加密處理，導致攻擊者透過代理攻擊方式(劫持、嗅探等)即可獲取到這些未加密的敏感資料。

二、敏感資訊的明文傳輸漏洞的構成條件有哪些?

滿足以下條件， 就構成了一個敏感資訊明文傳輸的安全漏洞 ：

1、從socket中獲取到敏感資訊且未加密;

2、直接將未加密的敏感資訊進行傳輸。

三、敏感資訊的明文傳輸漏洞會造成哪些後果?

關鍵詞：讀取應用程式資料;修改檔案或目錄

當攻擊者獲取到這些資料之後，就可以用這些資訊以合法使用者的身份進入到應用系統中——甚至可能進入到應用系統後臺中，一旦進入到應用系統中那麼就可以獲取更多的敏感資料，以及更有機會發現更多的漏洞。

四、敏感資訊的明文傳輸漏洞的防範和修補方法有哪些?

1、在傳輸之前使用可靠的加密演算法對資料進行加密;

2、將伺服器配置為使用加密通道進行通訊，其中可能包括SSL或其他安全協議。

五、敏感資訊的明文傳輸漏洞樣例：

敏感資訊的明文傳輸在CWE中被編號為

CWE-319: Cleartext Transmission ofSensitive Information