安全漏洞问题2:传输层保护不足

安全漏洞问题2:传输层保护不足
1.1. 漏洞描述
WEB应用程序在进行数据传输时,可能会选择HTTP或者HTTPS。对于前者,在传输的过程中,对传输数据并未做保护。在传输过程中,传输数据有可能被恶意用户截获、篡改。对于未使用SSL/TSL保护的传输通道,我们称之为传输层层保护不足。
注:此漏洞对太保内部应用不做强制要求,仅要求应用系统在用户密码传输过程中保证密文状态。实现方法可以对链路做SSL加密,也可以在客户端对密码做Hash。
1.2. 漏洞危害
传输层保护不足,可能会造成如下危害:
 可能导致用户凭证和用户会话信息被窃取
 可能导致敏感信息泄露、篡改
1.3. 解决方案
针对传输层保护不足,可采用如下解决办法:
 对所有验证页面都使用SSL或TLS加密;
 对所有敏感信息的传输都使用SSL/TLS加密;
 在网页中不要混杂HTTP和HTTPS内容;
 对Cookie使用Secure标签;
 保持服务器证书的有效性/合法性;
 只允许SSL 3.0或TLS 1.0以上版本协议;
 有需要的情况下,要求客户端证书。

时间: 2024-09-17 03:10:01

安全漏洞问题2:传输层保护不足的相关文章

Linux内核协议栈-从BSD socket接口层到传输层1

本文接上一篇Linux内核协议栈-初始化流程分析,在上一篇中主要分析了了Linux内核协议栈涉及到的关键初始化函数,在这一篇文章中将分析协议栈的BSD socket和到传输层的流程.采取的方式是分析socket相关的主要系统调用.针对不同的系统调用,其到达的协议层深度可能不同,有的基本只到sock层就够了,但是有些可能需要会涉及到比如tcp的具体细节和更底层的细节.本文基本追溯到传输层的开始,再深入的细节后续文章分析. 1.准备 协议的基本分层: (A代表socket的某个系统调用) BSD s

我们为何需要安全传输层协议(TLS)

网上说TLS的文章很多,要学习TLS技术有很多不错的选择.本文并不是一个权威的教程,只是我个人学习TLS后基于自己理解的一个总结而已.如果有读者通过阅读此文后加深了对TLS的理解,不胜荣幸. 要聊TLS,还得从HTTP说起,HTTP可以说是作为目前最流行的一个网络协议,可以说是网络的基石之一.一般来说可以理解为从浏览器看到的所有东西,都是构建于HTTP之上的. 早期HTTP协议被设计成在一个可信网络环境中运行,其设计理念以简单为主--通过一个通用格式的明文请求就能够获取到各种文档.样式.脚本.富

《Linux防火墙(第4版)》——1.3 传输层机制

1.3 传输层机制 IP协议定义了OSI模型中的网络层协议.其实仍有一些其他的网络层协议,但我只聚焦在IP上,因为它是目前最流行的网络层协议.OSI模型中,网络层之上的是传输层.正如您所料,传输层有它自己的一组协议簇.我们对两个传输层的协议比较感兴趣:UDP和TCP.本节将分别详细介绍这些协议. 1.3.1 UDP用户数据报协议(User Datagram Protocol,UDP)是无连接协议,用于DNS查询.SNMP(简单网络管理协议)和RADIUS(远程用户拨号认证系统)等.作为无连接协议

传输层:TCP UDP SCTP

总图 虽然协议族被称为"TCP/IP",但除了TCP和IP这两个主要协议外,还有许多其他成员.图2-1展示了这些协议的概况. 图2-1中同时展示了IPV4和IPV6.从右向左看该图,最右边的5个网络应用在使用IPV6,随后的6个网络应用使用IPV4. 最左边名为tcpdump的网络应用或者使用BSD分组过滤器(BPF),或者使用数据链路层提供者接口(DLPI)直接与数据链路层进行通信.处于其右边所以9个应用下面的虚线标记为API,它通常是套接字或XTI.访问BPF或DLPI的接口不使用

传输层

Ipv4 32位地址 80年代设计 Ipv6 128位地址 90年代设计 TCP 传输控制协议.面向连接的协议,全双工字节流 UDP 用户数据报协议 无连接, ICMP 网际控制消息协议,处理路由器和主机间的错误和控制消息 IGMP 网际组管理协议, RARP 反向地址解析协议 BPF BSD分组过滤器,为进程提供访问链路层数据的接口. DLPI 数据链路提供接口 TCP: 1 提供客户与UDP服务不相同 2 提供可靠性 3 通过给所发送数据的每一个字节关联一个序列号进行排序 4 提供流量控制.

传输层攻击方式汇总解析

1. 异常包 TCP/UDP:端口值为0的包;校验和错误的包 TCP标志位异常包:SYN只能单独存在或只能和ACK共存,和其他标志共存就是异常包;没有标志或标志全置的包;有ACK标志但 Acknowledgment Number为0的包;有SYN标志但Sequence Number为0的包;有URG标志但Urgent Pointer为0,或没有URG标志但Urgent Pointer不为0的包;RST和除ACK标志之外的其他标志共存的包; 这种攻击标志很明显,防御也很容易,可以做到100%检测并

安全传输层协议(TLS)是如何保证安全的?

上篇主要是介绍了HTTP存在的两大安全问题 明文 无法验证服务器的真实性 从而引出了TLS.本篇就来着重介绍下TLS. 说起TLS可能有些人还比较陌生,但如果说到SSL,那知道的人就更多了.TLS其实就是SSL发展而来,版本演进大体为SSL 2.0 -> SSL 3.0 -> TLS 1.0(可以看做是SSL 3.1版). TLS主要提供三个基本服务 加密 身份验证 消息完整性校验 其中第三点是网络协议中常用的一个校验和机制,和我们这边要说的安全话题不是太相关,不再赘述.而前两点正好是对应了H

安全专家发现TLS/SSL保密协议存在致命漏洞

PhoneFactor公司的两名安全专家Marsh Ray与Steve Dispensa近日公开了他们在TLS/SSL安全协议中发现的安全漏洞.TLS (传输层保密协议 Transport Layer Security)以及SSL(Socket层保密协议Secure Sockets Layer)是两个被在线零售商在网络交易过程中广泛使用的安保协议.两位专家本周四在自己的博客上公开了这两个安全协议中的漏洞,Ray今年8月份首次发现了这些漏洞,并于9月初将这些漏洞展示给Dispensa.专家们表示,

OpenSSL曝“毁灭性”漏洞 百度加速乐率先防御

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 4月8日消息,OpenSSL的协议中,刚刚曝光了一个"毁灭性"安全漏洞,该漏洞或暴露某些重量级服务的加密密钥和私有通信,如源码.证书.帐号等.因为SSL网站,也就是我们通常所说的https协议的网站通常应用于电商.银行等安全性要求极高的网站,所以本次漏洞特别值得关注.在安全圈中,安全人员以"心脏出血"来