漏洞描述:
数据传输过程中的账号、密码等敏感信息明文传输。
测试过程:
使用代理抓包工具查看请求和响应中的敏感数据(个人敏感数据和业务敏感数据)是否加密传输。
漏洞危害:
所有经过网关的流量都可以被黑客通过嗅探sniffer、劫持ARP欺骗等方式抓取到,从而获取明文数据造成安全隐患。
防护建议:
<1>启用SSL机制。
<2>对系统内所有涉及到密码等敏感数据传输地方做加密处理,从而在一定的程度上避免这些敏感的数据受到威胁。确保所有登录请求都以加密方式发送到服务器。
<3>确保使用了合适、强大的标准加解密算法,推荐使用国密算法。不要使用md5、base64编码、url编码等易被破解或解码的方式,密码相关加解密建议非对称加密算法。