一、传输层保护不足的概念
在身份验证过程中没有使用SSL/TLS或者使用SSL/TLS不正确,因此暴露传输数据和会话ID,被攻击者截听。它们有时还会使用过期或者配置不正确的证书。
二、传输层保护不足的后果
传输层保护不足,会暴露传输的数据,导致数据被窃听,账号被盗等,如果是管理员的账号面临这个问题,那么将会导致整个网站处于数据暴露的状态,将对网站和用户造成严重的甚至无法挽回的损失。
三、传输层保护不足的防御措施
对所有敏感的页面使用SSL,非SSL请求的页面应该被重定向到SSL请求的页面。
对所有敏感的Cookie,设置“secure”的flag。
保证SSL的提供商只支持强大的算法,这样就不能够被轻易破解。(使用标准的强算法)
确保您的证书是有效的,不过期,不被撤销,并匹配这个网站使用的所有域。
后台和其他的连接也应该使用SSL或其他加密技术。
即使是开发者的注释也应该很好的被保护,防止信息泄露。
更多内容可参考: http://www.hkaco.com/software/veracode/directory_owasp-top-10.html