编码员征服安全。分享与学习系列 - 传输层保护不充分
即使你已经完全保证了应用服务器和它所使用的后端系统的安全,如果你没有足够的传输层保护,通信仍然可能容易被窥探。在物理世界中,硬通货使用装甲车移动的原因是为了在运输过程中提供保护。如果一家商店或银行产生的钱被装进高尔夫球车,开车穿过城镇,那么它有多安全就真的不重要了。
网络领域中的传输层也是如此。即使一个应用程序是安全的,但如果进入它的信息在没有保护的情况下被发送,仍然存在一个关键的漏洞。而且,如果某些应用程序还向其他服务器或数据库发送信息,则存在第二个漏洞。这些信息可能会暴露给那些无权窥探这些交易的内部人员。
要完全保护用户和数据,需要保护传输层。只有这样做,你才能从头到尾完全保护整个交易。
在这一集里,我们将学习。
- 黑客如何利用传输层保护不足的问题
- 为什么不保护传输层是如此危险
- 怎样才能保证进入和通过应用程序或服务器的所有数据的传输。
攻击者如何利用不充分的传输层保护?
不充分的传输层保护可以使你的数据流中的两个点受到攻击。最常被利用的地方是在用户和应用服务器之间。如果信息是以明文或弱加密方式发送的,那么黑客将能够监视、窃取并可能改变这些信息。这可能允许黑客窃取用户的信用卡、他们的登录凭证或任何其他发送到应用服务器的信息。即使服务器本身是安全的,黑客监视它和用户之间不安全的通道,也可以几乎不受限制地获得大量信息。
第二点是应用程序和网络其他部分之间的传输层,这一点往往没有得到保护。例如,一个应用服务器可能会处理在线购物订单,然后将其发送到执行系统,或者数据可能只是被卸载到数据库进行存储。如果这些内部通道不受保护,内部用户可能会看到这些信息。
虽然相信所有的内部用户都是好人是很好的,但事实是内部威胁在很多行业都在上升。内部人员已经被发现接受贿赂,以换取为攻击者或竞争对手收集敏感信息。而拥有像数千张有效信用卡的权限,对一些人来说可能只是太过诱人而无法忽视。
就攻击技术而言,拦截未受保护的通信并不十分困难。即使是低级别的黑客也知道如何对未加密的数据流进行中间人攻击。如果他们不知道,网上有一些视频可以在不到半小时内训练他们。
为什么传输层保护不足的漏洞会如此危险?
对传输层的保护不足或不存在是危险的,因为它使黑客极容易收集敏感信息。他们不需要闯入你的应用服务器或入侵你的网络。他们只需设置一个中间人攻击,并读取用户发送到服务器的所有信息。这可能包括用户名和密码,可以用来在未来使用有效的证书绕过安全。根据不同的应用,这还可能包括信用卡信息或其他关于用户的个人数据。
值得注意的是,所有这些窥探都是在你的网络之外进行的。如果你使用的是不安全的传输通道,就没有办法知道是否有人在捕捉这些信息。通常情况下,第一个迹象是当很多用户开始报告账户受损或信用卡购买时,共同的因素是你的应用程序 "不是一个好地方。黑客也可以在获得信息后进行修改,例如改变送货地址,甚至在将信息传递给用户之前将恶意脚本插入服务器的响应中。
在后端,如果不能保证传输层的安全,数据就会暴露给内部人员。与来自外部的黑客做同样的事情相比,内部人员窥视传输层的可能性要小得多。但如果发生这种情况,也会更加危险,因为内部威胁不仅能看到用户数据,还能看到应用服务器在发送这些数据包之前添加的任何专有信息。
消除不充分的传输层保护漏洞
尽管传输层保护不足可能很危险,但适当地保护你所有的传输通道也不是非常困难。这要从后端基础设施开始。这应该是专门的HTTPS,确保不要在一个网站上混合使用HTTPS和HTTP。最后,保持一个有效的SSL证书,密钥大小至少为2048位,同时强迫所有用户使用具有HTTP严格传输安全(HSTS)的安全浏览器进行交互。
一旦基础设施到位,开发者应该使用一个强大的协议来保护传输层。理想情况下,应该使用TLS1.2,尽管在绝对必要时,TLS1.1和1.0也是可以接受的。一旦到位,像SSLv2这样的弱协议就应该被完全禁用,并且永远不被支持。
还应注意确保加密密码器在后端有足够的力量。理想情况下,最小会话密钥大小应该是128位。与协议一样,应该禁用对DES和RC4-40等弱加密算法的支持。最后,在服务器本身和进出服务器的所有数据路径得到充分保护之前,不要认为一个应用程序是真正安全的。
关于传输层保护不足的漏洞的更多信息
要进一步阅读,你可以看一下OWASP保护传输层的指南。你还可以用Secure Code Warrior 平台的免费演示来测试你新发现的防御知识,该平台可以培训网络安全团队成为最终的网络战士。要了解更多关于击败这个漏洞以及其他威胁的流氓画廊,请访问Secure Code Warrior 博客。
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
即使你已经完全保证了应用服务器和它所使用的后端系统的安全,如果你没有足够的传输层保护,通信仍然可能容易被窥探。在物理世界中,硬通货使用装甲车移动的原因是为了在运输过程中提供保护。如果一家商店或银行产生的钱被装进高尔夫球车,开车穿过城镇,那么它有多安全就真的不重要了。
网络领域中的传输层也是如此。即使一个应用程序是安全的,但如果进入它的信息在没有保护的情况下被发送,仍然存在一个关键的漏洞。而且,如果某些应用程序还向其他服务器或数据库发送信息,则存在第二个漏洞。这些信息可能会暴露给那些无权窥探这些交易的内部人员。
要完全保护用户和数据,需要保护传输层。只有这样做,你才能从头到尾完全保护整个交易。
在这一集里,我们将学习。
- 黑客如何利用传输层保护不足的问题
- 为什么不保护传输层是如此危险
- 怎样才能保证进入和通过应用程序或服务器的所有数据的传输。
攻击者如何利用不充分的传输层保护?
不充分的传输层保护可以使你的数据流中的两个点受到攻击。最常被利用的地方是在用户和应用服务器之间。如果信息是以明文或弱加密方式发送的,那么黑客将能够监视、窃取并可能改变这些信息。这可能允许黑客窃取用户的信用卡、他们的登录凭证或任何其他发送到应用服务器的信息。即使服务器本身是安全的,黑客监视它和用户之间不安全的通道,也可以几乎不受限制地获得大量信息。
第二点是应用程序和网络其他部分之间的传输层,这一点往往没有得到保护。例如,一个应用服务器可能会处理在线购物订单,然后将其发送到执行系统,或者数据可能只是被卸载到数据库进行存储。如果这些内部通道不受保护,内部用户可能会看到这些信息。
虽然相信所有的内部用户都是好人是很好的,但事实是内部威胁在很多行业都在上升。内部人员已经被发现接受贿赂,以换取为攻击者或竞争对手收集敏感信息。而拥有像数千张有效信用卡的权限,对一些人来说可能只是太过诱人而无法忽视。
就攻击技术而言,拦截未受保护的通信并不十分困难。即使是低级别的黑客也知道如何对未加密的数据流进行中间人攻击。如果他们不知道,网上有一些视频可以在不到半小时内训练他们。
为什么传输层保护不足的漏洞会如此危险?
对传输层的保护不足或不存在是危险的,因为它使黑客极容易收集敏感信息。他们不需要闯入你的应用服务器或入侵你的网络。他们只需设置一个中间人攻击,并读取用户发送到服务器的所有信息。这可能包括用户名和密码,可以用来在未来使用有效的证书绕过安全。根据不同的应用,这还可能包括信用卡信息或其他关于用户的个人数据。
值得注意的是,所有这些窥探都是在你的网络之外进行的。如果你使用的是不安全的传输通道,就没有办法知道是否有人在捕捉这些信息。通常情况下,第一个迹象是当很多用户开始报告账户受损或信用卡购买时,共同的因素是你的应用程序 "不是一个好地方。黑客也可以在获得信息后进行修改,例如改变送货地址,甚至在将信息传递给用户之前将恶意脚本插入服务器的响应中。
在后端,如果不能保证传输层的安全,数据就会暴露给内部人员。与来自外部的黑客做同样的事情相比,内部人员窥视传输层的可能性要小得多。但如果发生这种情况,也会更加危险,因为内部威胁不仅能看到用户数据,还能看到应用服务器在发送这些数据包之前添加的任何专有信息。
消除不充分的传输层保护漏洞
尽管传输层保护不足可能很危险,但适当地保护你所有的传输通道也不是非常困难。这要从后端基础设施开始。这应该是专门的HTTPS,确保不要在一个网站上混合使用HTTPS和HTTP。最后,保持一个有效的SSL证书,密钥大小至少为2048位,同时强迫所有用户使用具有HTTP严格传输安全(HSTS)的安全浏览器进行交互。
一旦基础设施到位,开发者应该使用一个强大的协议来保护传输层。理想情况下,应该使用TLS1.2,尽管在绝对必要时,TLS1.1和1.0也是可以接受的。一旦到位,像SSLv2这样的弱协议就应该被完全禁用,并且永远不被支持。
还应注意确保加密密码器在后端有足够的力量。理想情况下,最小会话密钥大小应该是128位。与协议一样,应该禁用对DES和RC4-40等弱加密算法的支持。最后,在服务器本身和进出服务器的所有数据路径得到充分保护之前,不要认为一个应用程序是真正安全的。
关于传输层保护不足的漏洞的更多信息
要进一步阅读,你可以看一下OWASP保护传输层的指南。你还可以用Secure Code Warrior 平台的免费演示来测试你新发现的防御知识,该平台可以培训网络安全团队成为最终的网络战士。要了解更多关于击败这个漏洞以及其他威胁的流氓画廊,请访问Secure Code Warrior 博客。
即使你已经完全保证了应用服务器和它所使用的后端系统的安全,如果你没有足够的传输层保护,通信仍然可能容易被窥探。在物理世界中,硬通货使用装甲车移动的原因是为了在运输过程中提供保护。如果一家商店或银行产生的钱被装进高尔夫球车,开车穿过城镇,那么它有多安全就真的不重要了。
网络领域中的传输层也是如此。即使一个应用程序是安全的,但如果进入它的信息在没有保护的情况下被发送,仍然存在一个关键的漏洞。而且,如果某些应用程序还向其他服务器或数据库发送信息,则存在第二个漏洞。这些信息可能会暴露给那些无权窥探这些交易的内部人员。
要完全保护用户和数据,需要保护传输层。只有这样做,你才能从头到尾完全保护整个交易。
在这一集里,我们将学习。
- 黑客如何利用传输层保护不足的问题
- 为什么不保护传输层是如此危险
- 怎样才能保证进入和通过应用程序或服务器的所有数据的传输。
攻击者如何利用不充分的传输层保护?
不充分的传输层保护可以使你的数据流中的两个点受到攻击。最常被利用的地方是在用户和应用服务器之间。如果信息是以明文或弱加密方式发送的,那么黑客将能够监视、窃取并可能改变这些信息。这可能允许黑客窃取用户的信用卡、他们的登录凭证或任何其他发送到应用服务器的信息。即使服务器本身是安全的,黑客监视它和用户之间不安全的通道,也可以几乎不受限制地获得大量信息。
第二点是应用程序和网络其他部分之间的传输层,这一点往往没有得到保护。例如,一个应用服务器可能会处理在线购物订单,然后将其发送到执行系统,或者数据可能只是被卸载到数据库进行存储。如果这些内部通道不受保护,内部用户可能会看到这些信息。
虽然相信所有的内部用户都是好人是很好的,但事实是内部威胁在很多行业都在上升。内部人员已经被发现接受贿赂,以换取为攻击者或竞争对手收集敏感信息。而拥有像数千张有效信用卡的权限,对一些人来说可能只是太过诱人而无法忽视。
就攻击技术而言,拦截未受保护的通信并不十分困难。即使是低级别的黑客也知道如何对未加密的数据流进行中间人攻击。如果他们不知道,网上有一些视频可以在不到半小时内训练他们。
为什么传输层保护不足的漏洞会如此危险?
对传输层的保护不足或不存在是危险的,因为它使黑客极容易收集敏感信息。他们不需要闯入你的应用服务器或入侵你的网络。他们只需设置一个中间人攻击,并读取用户发送到服务器的所有信息。这可能包括用户名和密码,可以用来在未来使用有效的证书绕过安全。根据不同的应用,这还可能包括信用卡信息或其他关于用户的个人数据。
值得注意的是,所有这些窥探都是在你的网络之外进行的。如果你使用的是不安全的传输通道,就没有办法知道是否有人在捕捉这些信息。通常情况下,第一个迹象是当很多用户开始报告账户受损或信用卡购买时,共同的因素是你的应用程序 "不是一个好地方。黑客也可以在获得信息后进行修改,例如改变送货地址,甚至在将信息传递给用户之前将恶意脚本插入服务器的响应中。
在后端,如果不能保证传输层的安全,数据就会暴露给内部人员。与来自外部的黑客做同样的事情相比,内部人员窥视传输层的可能性要小得多。但如果发生这种情况,也会更加危险,因为内部威胁不仅能看到用户数据,还能看到应用服务器在发送这些数据包之前添加的任何专有信息。
消除不充分的传输层保护漏洞
尽管传输层保护不足可能很危险,但适当地保护你所有的传输通道也不是非常困难。这要从后端基础设施开始。这应该是专门的HTTPS,确保不要在一个网站上混合使用HTTPS和HTTP。最后,保持一个有效的SSL证书,密钥大小至少为2048位,同时强迫所有用户使用具有HTTP严格传输安全(HSTS)的安全浏览器进行交互。
一旦基础设施到位,开发者应该使用一个强大的协议来保护传输层。理想情况下,应该使用TLS1.2,尽管在绝对必要时,TLS1.1和1.0也是可以接受的。一旦到位,像SSLv2这样的弱协议就应该被完全禁用,并且永远不被支持。
还应注意确保加密密码器在后端有足够的力量。理想情况下,最小会话密钥大小应该是128位。与协议一样,应该禁用对DES和RC4-40等弱加密算法的支持。最后,在服务器本身和进出服务器的所有数据路径得到充分保护之前,不要认为一个应用程序是真正安全的。
关于传输层保护不足的漏洞的更多信息
要进一步阅读,你可以看一下OWASP保护传输层的指南。你还可以用Secure Code Warrior 平台的免费演示来测试你新发现的防御知识,该平台可以培训网络安全团队成为最终的网络战士。要了解更多关于击败这个漏洞以及其他威胁的流氓画廊,请访问Secure Code Warrior 博客。
即使你已经完全保证了应用服务器和它所使用的后端系统的安全,如果你没有足够的传输层保护,通信仍然可能容易被窥探。在物理世界中,硬通货使用装甲车移动的原因是为了在运输过程中提供保护。如果一家商店或银行产生的钱被装进高尔夫球车,开车穿过城镇,那么它有多安全就真的不重要了。
网络领域中的传输层也是如此。即使一个应用程序是安全的,但如果进入它的信息在没有保护的情况下被发送,仍然存在一个关键的漏洞。而且,如果某些应用程序还向其他服务器或数据库发送信息,则存在第二个漏洞。这些信息可能会暴露给那些无权窥探这些交易的内部人员。
要完全保护用户和数据,需要保护传输层。只有这样做,你才能从头到尾完全保护整个交易。
在这一集里,我们将学习。
- 黑客如何利用传输层保护不足的问题
- 为什么不保护传输层是如此危险
- 怎样才能保证进入和通过应用程序或服务器的所有数据的传输。
攻击者如何利用不充分的传输层保护?
不充分的传输层保护可以使你的数据流中的两个点受到攻击。最常被利用的地方是在用户和应用服务器之间。如果信息是以明文或弱加密方式发送的,那么黑客将能够监视、窃取并可能改变这些信息。这可能允许黑客窃取用户的信用卡、他们的登录凭证或任何其他发送到应用服务器的信息。即使服务器本身是安全的,黑客监视它和用户之间不安全的通道,也可以几乎不受限制地获得大量信息。
第二点是应用程序和网络其他部分之间的传输层,这一点往往没有得到保护。例如,一个应用服务器可能会处理在线购物订单,然后将其发送到执行系统,或者数据可能只是被卸载到数据库进行存储。如果这些内部通道不受保护,内部用户可能会看到这些信息。
虽然相信所有的内部用户都是好人是很好的,但事实是内部威胁在很多行业都在上升。内部人员已经被发现接受贿赂,以换取为攻击者或竞争对手收集敏感信息。而拥有像数千张有效信用卡的权限,对一些人来说可能只是太过诱人而无法忽视。
就攻击技术而言,拦截未受保护的通信并不十分困难。即使是低级别的黑客也知道如何对未加密的数据流进行中间人攻击。如果他们不知道,网上有一些视频可以在不到半小时内训练他们。
为什么传输层保护不足的漏洞会如此危险?
对传输层的保护不足或不存在是危险的,因为它使黑客极容易收集敏感信息。他们不需要闯入你的应用服务器或入侵你的网络。他们只需设置一个中间人攻击,并读取用户发送到服务器的所有信息。这可能包括用户名和密码,可以用来在未来使用有效的证书绕过安全。根据不同的应用,这还可能包括信用卡信息或其他关于用户的个人数据。
值得注意的是,所有这些窥探都是在你的网络之外进行的。如果你使用的是不安全的传输通道,就没有办法知道是否有人在捕捉这些信息。通常情况下,第一个迹象是当很多用户开始报告账户受损或信用卡购买时,共同的因素是你的应用程序 "不是一个好地方。黑客也可以在获得信息后进行修改,例如改变送货地址,甚至在将信息传递给用户之前将恶意脚本插入服务器的响应中。
在后端,如果不能保证传输层的安全,数据就会暴露给内部人员。与来自外部的黑客做同样的事情相比,内部人员窥视传输层的可能性要小得多。但如果发生这种情况,也会更加危险,因为内部威胁不仅能看到用户数据,还能看到应用服务器在发送这些数据包之前添加的任何专有信息。
消除不充分的传输层保护漏洞
尽管传输层保护不足可能很危险,但适当地保护你所有的传输通道也不是非常困难。这要从后端基础设施开始。这应该是专门的HTTPS,确保不要在一个网站上混合使用HTTPS和HTTP。最后,保持一个有效的SSL证书,密钥大小至少为2048位,同时强迫所有用户使用具有HTTP严格传输安全(HSTS)的安全浏览器进行交互。
一旦基础设施到位,开发者应该使用一个强大的协议来保护传输层。理想情况下,应该使用TLS1.2,尽管在绝对必要时,TLS1.1和1.0也是可以接受的。一旦到位,像SSLv2这样的弱协议就应该被完全禁用,并且永远不被支持。
还应注意确保加密密码器在后端有足够的力量。理想情况下,最小会话密钥大小应该是128位。与协议一样,应该禁用对DES和RC4-40等弱加密算法的支持。最后,在服务器本身和进出服务器的所有数据路径得到充分保护之前,不要认为一个应用程序是真正安全的。
关于传输层保护不足的漏洞的更多信息
要进一步阅读,你可以看一下OWASP保护传输层的指南。你还可以用Secure Code Warrior 平台的免费演示来测试你新发现的防御知识,该平台可以培训网络安全团队成为最终的网络战士。要了解更多关于击败这个漏洞以及其他威胁的流氓画廊,请访问Secure Code Warrior 博客。
资源
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
安全代码培训主题和内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
资源
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
