本文介绍了敏感信息的明文传输漏洞(CWE-319),讨论了其构成条件、可能后果及防范措施。通过加密数据和使用安全通信通道可以避免此类漏洞,防止攻击者窃取并利用敏感信息。
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识!
该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。
【悟空云课堂】第十三期:敏感信息的明文传输漏洞(CWE-319: Cleartext Transmission of Sensitive Information)
什么是敏感信息的明文传输漏洞?
程序在通信时以明文形式传输敏感或重要数据,这些数据可能被未经授权的攻击者嗅探。
简单点来说就是当我们在网站上面提交敏感数据到服务器的过程中未进行相关加密处理,导致攻击者通过代理攻击方式(劫持、嗅探等)即可获取到这些未加密的敏感数据。
敏感信息的明文传输漏洞构成条件有哪些?
满足以下条件,就构成了一个该类型的安全漏洞:
1、从socket中获取到敏感信息且未加密;
2、直接将未加密的敏感信息进行传输;
敏感信息的明文传输漏洞会造成哪些后果?
关键词:读取应用程序数据;修改文件或目录;
当攻击者获取到这些数据之后,就可以用这些信息以合法用户的身份进入到应用系统中——甚至可能进入到应用系统后台中,一旦进入到应用系统中那么就可以获取更多的敏感数据,以及更有机会发现更多的漏洞。
敏感信息的明文传输漏洞的防范和修补方法有
最低0.47元/天 解锁文章
834
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
