未加密的通讯
描述:未加密的通讯
该应用程序允许用户通过未加密的连接连接到它。适当位置的攻击者可以查看合法用户的网络流量可以记录并监视其与应用程序的交互,并获取用户提供的任何信息。此外,能够修改流量的攻击者可以将应用程序用作攻击其用户和第三方网站的平台。beplay体育能用吗ISP和政府已利用未加密的连接来跟踪用户,并注入广告和恶意JavaScript。由于这些担忧,网络浏览器供应商正计划在视觉上标beplay体育能用吗记未加密的连接作为危险的连接。
为了利用这一漏洞,必须适当地将攻击者定位于受害者的网络流量。这种情况通常发生在客户端通过不安全的连接(例如公共Wi-Fi)或与折衷计算机共享的公司或家庭网络等不安全连接的通信时发生。诸如开关网络之类的常见防御措施不足以防止这种情况。位于用户ISP或应用程序托管基础架构中的攻击者也可以执行此攻击。请注意,高级对手可以可能针对Internet核心基础架构建立的任何连接。
请注意,使用加密和未加密的通信的混合物是针对主动攻击者的无效防御,因为当这些引用通过未加密的连接传输时,它们可以轻松地删除对加密资源的参考。
补救:未加密的通讯
应用程序应使用传输级加密(SSL/TLS)来保护客户端和服务器之间传递的所有通信。应使用严格的传输安全性HTTP标头来确保客户拒绝通过不安全的连接访问服务器。
参考
脆弱性分类
典型的严重程度
低的
类型索引(HEX)
0x01000200
类型索引(十进制)
16777728