Главная / Insufficient Transport Layer Protection
Insufficient Transport Layer Protection
Суть проблемы заключается в том, что чувствительные данные передаются по открытому, незащищенному каналу (http, ftp).
Как определить что приложение уязвимо
- SSL используется для передачи всего авторизованного трафика?
- SSL используется для всех приватных страниц? Есть ли на этих страницах данные передаваемые по открытым каналам (js по http)
- Используются стойкие алгоритмы?
- Сессионные куки имеют флаг «secure»?
- Сертификат сервера легитимен и верно ли сконфигурирован сервер?
Примеры уязвимости
Сайт не использует https для передачи данных авторизованых пользователей. Таким образом злоумышленнику достаточно просто мониторить сетевой трафик, выдрав из трафика куку авторизованного пользователя злоумышленник получит полный доступ к его аккаунту.
Защита
- Использовать SSL для всех чувствительных страниц. Если запрос пришел не через защищенный канал, отправлять пользователя на защищенный канал.
- Выставлять флаг «secure» у сессионных кук
- Сконфигурировать SSL с использованием стойких алгоритмов
- Убедиться что используется валидный сертификат (время его жизни не истекло, он не был перевыпущен, он выписан на текущий домен)
- Все данные передаваемые между компонентами бэкэнда должны передаваться по защищенному каналу (ssl, vpn etc.)