安全漏洞问题2:传输层保护不足

最新推荐文章于 2024-05-25 14:49:44 发布
最新推荐文章于 2024-05-25 14:49:44 发布
阅读量1.3k 收藏 2
点赞数 1
文章标签: c#
原文链接:https://yq.aliyun.com/articles/259031
版权

安全漏洞问题2:传输层保护不足
1.1. 漏洞描述
WEB应用程序在进行数据传输时,可能会选择HTTP或者HTTPS。对于前者,在传输的过程中,对传输数据并未做保护。在传输过程中,传输数据有可能被恶意用户截获、篡改。对于未使用SSL/TSL保护的传输通道,我们称之为传输层层保护不足。
注:此漏洞对太保内部应用不做强制要求,仅要求应用系统在用户密码传输过程中保证密文状态。实现方法可以对链路做SSL加密,也可以在客户端对密码做Hash。
1.2. 漏洞危害
传输层保护不足,可能会造成如下危害:
 可能导致用户凭证和用户会话信息被窃取
 可能导致敏感信息泄露、篡改
1.3. 解决方案
针对传输层保护不足,可采用如下解决办法:
 对所有验证页面都使用SSL或TLS加密;
 对所有敏感信息的传输都使用SSL/TLS加密;
 在网页中不要混杂HTTP和HTTPS内容;
 对Cookie使用Secure标签;
 保持服务器证书的有效性/合法性;
 只允许SSL 3.0或TLS 1.0以上版本协议;
 有需要的情况下,要求客户端证书。

weixin_34128839
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈传输层
baidu_37964044的博客
07-23 300
上篇博客讲解了应用层协议,本篇接着讲传输层。 一  传输层:负责数据能从发送端到接收端      在TCP/IP协议中用源端口号,源ip,目的端口号,目的ip ,协议号这样一个五元祖来表示一个通信 (用netstat-n查看) 二  端口号:标识了一个主机上进行通信的不同的应用程序      端口号划分:0-1023知名端口号   1024-65535操作系统动态分配的端口号      ...
一个中心三重防护(安全管理中心).pptx
01-23
等级保护--一个中心三重防护 工控安全的一个中心三重防护是指以工业控制系统主机为信任中心,在工业控制系统中构建由内到外的多层安全防线,包括计算环境安全、区域边界安全和网络通信安全。 计算环境安全:主要关注工业控制系统的主机安全,包括操作系统的安全配置、防病毒软件的部署、漏洞补丁的更新等。 区域边界安全:主要是通过部署防火墙、入侵检测系统等安全设备,对进入区域边界的流量进行分析和过滤,防止未经授权的访问和攻击。 网络通信安全:主要是通过加密通信协议、使用VPN等方式,保证工业控制系统在数据传输过程中的安全性和机密性。 通过以上三层防护,可以有效地降低工业控制系统被攻击的风险,保障工业生产的安全稳定运行。 文心大模型3.5生成
操作系统安全:安全策略的制定与实施.docx
06-02
Window安全策略的制定与实施 一、安全策略一:给系统打补丁 1、加强windows用户账户认证和访问控制权限控制 通过经常给电脑打补丁来保护电脑数据,这是一个保护电脑、防护很多病毒的有效措施。因为大多数电脑病毒都是通过WINDOWS操作系统的漏洞进行攻击、破坏电脑的正常使用,给用户造成不可估量的损失。而补丁是修复瑕疵以及安全漏洞的。在已经习惯给防病毒软件升级的今天,打补丁同样重要。打补丁的频率一般是每月检查一次,使用Windows 打开自动更新功能将使Windows随时使用最新的补丁,而其他应用程序可以相关厂商的网站寻找补丁进行更新。 二、安全策略二:对系统管理员账号进行管理 1、重要数据进行加密传输 常见的是传密码的时候对密码进行MD5(本质是一种散列算法,和AES等加密算法不一样,因为不是加密,所以不可以解密,网上的所谓MD5解密,其实是在海量数据里的一种反推)加密。 三、安全制定Windows重要安全计划——12步纲要 1. 明确一位决策发起者 一位决策发起者——位于管理层或者是副总裁——会拥护并支持企业战略性的安全规划。 2. 找到一位安全程序的管理者 那就是你,Windo
网络安全技术简答题(2).doc
06-09
第1章 网络安全概述与环境配置 1. 网络攻击和防御分别包括哪些内容? 答:攻击技术主要包括以下几个方面。 (1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标 计算机与其他计算机通信的数据。 (2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入 侵该计算机做准备。 (3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。 (4)网络后门:成功入侵目标计算机后,为了实现对"战利品"的长期控制,在目标 计算机中种植木马等后门。 (5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被 对方管理员发现。 防御技术主要包括以下几个方面。 (1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。 (2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。 (3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。 (4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。 (5)网络安全协议:保证传输的数据不被截获和监听。 2. 从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全, 操作系统安全和联网安全。 物理安全主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏。 逻辑安全需要用口令、文件许可等方法来实现。 操作系统安全,操作系统必须能区分用户,以便防止相互干扰。操作系统不允许一个 用户修改由另一个账户产生的数据。 联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。(1)访问控 制服务:用来保护计算机和联网资源不被非授权使用。(2)通信安全服务:用来认证数 据机要性与完整性,以及各通信的可信赖性。 (感觉如果说是特点的话这样回答有点别扭。。) 3. 为什么要研究网络安全? 答:网络需要与外界联系,同时也就受到许多方面的威胁:物理威胁、系统漏洞造成 的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。(可详细展开) 6. 网络安全橙皮书是什么?包括哪些内容? 答: 网络安全橙皮书是根据美国国防部开发的计算机安全标准——可信任计算机标准评价准 则(Trusted Computer Standards Evaluation Criteria,TCSEC),1985年橙皮书成为美国国防部的标准,多年以来它一直是评估多用 户主机和小型操作系统的主要方法。其他子系统(如数据库和网络)也一直用橙皮书来 解释评估。橙皮书把安全的级别从低到高分成4个类别:D类、C类、B类和A类,每类又分 几个级别,如表1-1所示。 表1-1 安 全 级 别 "类 "级 "名 称 "主 要 特 征 " "别 "别 " " " "D "D "低级保护 "没有安全保护 " "C "C1 "自主安全保护"自主存储控制 " " "C2 "受控存储控制"单独的可查性,安全标识 " "B "B1 "标识的安全保"强制存取控制,安全标识 " " " "护 " " " "B2 "结构化保护 "面向安全的体系结构,较好" " " " "的抗渗透能力 " " "B3 "安全区域 "存取监控、高抗渗透能力 " "A "A "验证设计 "形式化的最高级描述和验证" D级是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人 都可以自由进出,是完全不可信任的。对于硬件来说,没有任何保护措施,操作系统容 易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统 ,不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有DOS和Windows 98等。 C1是C类的一个安全子级。C1又称选择性安全保护(Discretionary Security Protection)系统,它描述了一个典型的用在UNIX系统上安全级别。这种级别的系统对 硬件又有某种程度的保护,如用户拥有注册账号和口令,系统通过账号和口令来识别用 户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性 仍然存在。 用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文 件的访问属性,从而对不同的用户授予不通的访问权限。 C2级除了包含C1级的特征外,应该具有访问控制环境(Controlled Access Environment)权力。该环境具有进一步限制用户执行某些命令或者访问某些文件的权限 ,而且还加入了身份认证等级。另外,系统对发生的事情加以审计,并写入日志中,如 什么时候开机,哪个用户在什么时候从什么地方登录,等等,这样通过查看日志,就可 以发现入侵的痕迹,如多次登录失败,也可以大致推测出可能有人想入侵系统。审计除 了可以记录下系统管理员执行
Mitigating-Obsolete-TLS:缓解过时的传输层安全性配置的指南。 #nsacyber
03-20
缓解过时的TLS 该存储库列出了许多工具,SNORT签名和Web服务器配置,以帮助网络所有者检测和补救过时的TLS的使用。 《 NSA Cybsecurity信息表(CSI)消除过时的传输层安全性(TLS)协议配置》中提供了更多信息: 背景 加密协议(例如传输层安全性(TLS)和安全套接字层(SSL))在通过网络传输时提供数据保护。但是,随着技术的变化和漏洞的出现,这些协议的旧版本已过时。采用过时的加密协议的网络连接处于较高的利用和解密风险中。因此,所有系统都应检测并补救对TLS和SSL协议使用不赞成使用的加密形式。 有关更多信息,请参见TLS。 TLS扫描和配置工具 请注意,这些工具和服务仅作为示例列出,不建议使用,认可或经过证明可用于任何用途。 扫描工具 通过尝试使用自定义工具启动弱TLS会话并查看服务器是否同意使用过时的加密技术,可以对服务器进行全面分析。有许多可用的开源工具和商业
WEB安全防御总结四 : 传输层保护不足(以加密方式传输敏感信息给服务器)
了解—学习—进步—满足
09-09 1219
漏洞简介: 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递,可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息。 修复建议: 确保敏感信息,一律以加密方式传给服务器。 处理方式: 在前端把敏感信息加密后传给服务器。 具体是用MD5或者SHA1在线加密敏感信息,然后再传递给服务器。在服务端,可以再二次加密后再进行使用(如登录信息的匹配等)。 1. MD5加密:...
安全测试之传输层保护不足
小太阳~
02-01 2628
一、传输层保护不足的概念在身份验证过程中没有使用SSL/TLS或者使用SSL/TLS不正确,因此暴露传输数据和会话ID,被攻击者截听。它们有时还会使用过期或者配置不正确的证书。二、传输层保护不足的后果传输层保护不足,会暴露传输的数据,导致数据被窃听,账号被盗等,如果是管理员的账号面临这个问题,那么将会导致整个网站处于数据暴露的状态,将对网站和用户造成严重的甚至无法挽回的损失。三、传输层保护不足的防御
深层次理解GET和POST请求
fish_skyyyy的博客
03-16 499
GET和POST请求的区别 首先我们需要了解GET和POST是什么? GET和POST是什么? GET和POST是HTTP协议中的两种发送请求的方法。 HTTP是什么? HTTP是基于TCP/IP的关于数据如何在万维网中如何通信的协议。 HTTP协议中与服务器交互的方式一共有四种:PUT、DELETE、POST、GET,分别对应了对服务器资源的增删改查。其中GET是获取数据,POST是修改数据。 那么GET和POST请求的区别都有哪些? 关于GET和POST请求的区别,最直观的区别就在于GET的参数
web应用存在的10大安全问题
zhusongziye的博客
11-04 9157
 1 在web应用程序中是什么导致安全性问题呢?一般有以下几个原因 1、复杂应用系统代码量大、开发人员多、难免出现疏忽 2、系统屡次升级、人员频繁变更,导致代码不一致 3、历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上 4、开发人员未经过安全编码培训或者公司根本就没有统一的安全编码规范 5、测试人员经验不足或者没经过专业的安全评估测试就发布上线 6、没有对用户的输入进行验证: ...
2.4 传输层的安全威胁
The 44th Demilitarized Zone
11-21 5480
传输层处于通信子网和资源子网之间起着承上启下的作用。传输层也支持多种安全服务:对等实体认证服务;访问控制服务;数据保密服务;数据完整性服务;数据源点认证服务。传输层控制主机间传输的数据流。传输层存在两个协议——传输控制协议(TCP)和用户数据报协议(UDP)传输控制协议(TCP)TCP是一个面向连接的协议,两台计算机通信,必须通过握手和信息交换。TCP保证了可靠的传输。一旦一个连接建立
工业互联网安全测试技术:工控漏洞.pptx
06-25
身份验证协议是与计算机网络通信的最重要的保护层。当工业控制系统的协议缺乏身份验证时,连接到网络的任何计算机或设备都可以输入命令来更改,操纵由ICS控制的操作。 (2)常见的工控软件漏洞 01 工控软件漏洞 弱...
OWASP TOP10 移动安全漏洞(安卓)2017
luqi5的博客
11-25 4061
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言OWASP TOP10 移动安全漏洞(安卓)一、脆弱的服务器端安全控制二、不安全的数据存储三、传输层保护不足四、意外的数据泄露五、弱授权和身份认证六、密码破解七、客户端注入八、通过不可信输入进行安全决策九、Session 会话处理不当十、缺乏二进制文件保护 前言 OWASP TOP10 移动安全漏洞(安卓) 2017 OWASP TOP10 移动安全漏洞(安卓) 一、脆弱的服务器端安全控制 在 OWASP 排第一的漏
web应用存在的10大安全问题,安全测试不容忽视!
cky8792的博客
08-07 822
随着 web、社交网络等一系列新型的互联网产品的不断升级,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是web安...
WEB安全防御总结 : 列举漏洞及修复建议
了解—学习—进步—满足
09-09 2124
一. 不安全的第三方链接: 漏洞简介: 在新打开的页面中可以通过 window.opener获取到源页面的部分控制权,即使新打开的页面是跨域的也照样可以 修复建议: 在a标签中加入rel="noopener noreferrer"属性 处理方式: 二. 纵向越权: 漏洞简介: 对需要认证的web应用程序,直接使用不登陆鉴权的方式进行探测,检查是否能够正常访问,可能会升级用户特...
Web中的安全性问题
zhoxing
03-14 2885
根据2010年OWASP发布的Web应用程序安全风险主要是SQL注入攻击、跨网站脚本、伪造客户端请求、Cookie盗取,传输层保护不足。  1 SQL注入攻击    随着B/S框架结构在系统开发中的广泛应用,恶意攻击者利用SQL命令在Web表单中输入合法的字符或查询字符串来欺骗服务器执行SQL命令。当注入攻击得逞后,Web程序将泄露大量用户隐私数据和数据库中数据结构。攻击者能够获得系统较高的访
REST API安全认证研究
zollty的专栏
12-28 1145
一、概述       对外网暴露的RESTful API,由于是无状态的,如果不做认证,那就相当于裸奔的,任何人都可以调用,随意调用,这样是极不安全的。下面就RESTful API的安全性方案进行了一些研究。   (但是首先建议,核心系统的API不对外网暴露,只允许内网调用,而且不建议做成HTTP RESTful形式。如果非要使用RESTful API对外网暴露接口,那么请看下面)。   ...
(转)GET来的漏洞
weixin_30823833的博客
08-19 536
转自呆子不开口在wooyun知识库的文章 0x00 前言 这篇文章主要讲目前互联网上get方法被不规范使用带来的一些安全漏洞。其中重点会讲get请求在账号登陆体系中被滥用的场景和攻击方式。 0x01 Get方法的定义 在客户机和服务器之间进行请求-响应时,两种最常被用到的方法是:GET 和 POST GET - 从指定的资源请求数据 POST - 向指定的资源提交要被处理的数...
C#如何在异步任务中调用及取消一个长时间运行的同步方法
weixin_43542114的博客
05-23 150
要想使用 Thread,需要在程序中引用 System.Threading 命名空间,然后再提供一个供线程调度的方法,这个方法是通过 Thread 中的 ThreadStart 委托代理的,下面的代码展示了如何创建线程。假设在多线程的代码中包含了多段的 INSERT 数据库类的方法,那么你调用 Abort 很可能就只能执行了一部分 INSERT 语句,而一部分没执行 导致数据库的这段数据不完整。Abort虽然可以立即强制终止线程,但是带来的危险也是明显的,所以我们一定要知道代码的具体作用,用起来会安心。
C# 字符串(String)
最新发布
个人笔记
05-25 187
字符串是C#中非常强大且灵活的数据类型,理解其不可变性和常用操作对于编写高效、优雅的代码至关重要
请你就无线网络安全问题中的物理层安全问题进行分析
07-16
在无线网络中,物理层安全问题是指攻者利用物理层的特性或漏洞进行攻击和侵入的安全威胁。以下是一些常见的物理层安全问题: 1. 信号干扰(Signal Interference): 信号干扰是指攻击者通过发送干扰信号来干扰无线...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值