混合内容
描述:混合内容
该应用程序加载页面上的HTTPS,该页面将其他资源加载到未加密的连接上。适当位置的攻击者可以查看合法用户的网络流量可以记录和监视他们与这些资源的交互,这可能间接披露有关用户在应用程序本身上活动的信息。此外,能够修改流量的攻击者可能会改变这些资源,并可能影响应用程序的外观和行为。由于这些问题,用户的Web浏览器可能会自动显示警告并禁用页面beplay体育能用吗的受影响组件。结果,此漏洞目前对可用性比安全性更大。
为了利用这一漏洞,必须适当地将攻击者定位于受害者的网络流量。这种情况通常发生在客户端通过不安全的连接(例如公共Wi-Fi)或与折衷计算机共享的公司或家庭网络等不安全连接的通信时发生。诸如开关网络之类的常见防御措施不足以防止这种情况。位于用户ISP或应用程序托管基础架构中的攻击者也可以执行此攻击。请注意,高级对手可以可能针对Internet核心基础架构建立的任何连接。
修复:混合内容
确保使用HTTPS加载页面引用的所有外部资源。
参考
脆弱性分类
典型的严重程度
信息
类型索引(HEX)
0x01000400
类型索引(十进制)
16778240