kongalshiva549 Ответов: 2

Как исправить проблему незащищенной транспортной уязвимости

Существует веб-приложение, которое уже размещено, и для этого приложения было сделано некоторое сканирование, и было высказано мало опасений

Уязвимость, связанная с небезопасной транспорта

Пожалуйста, руководство, как исправить вышеописанную проблему.

Что я уже пробовал:

нужно ли нам использовать Https для размещения приложения

OriginalGriff

Это не очень хороший вопрос - мы не можем понять из этого малого, что вы пытаетесь сделать.
Помните, что мы не можем видеть ваш экран, получить доступ к вашему жесткому диску или прочитать ваши мысли - мы получаем только то, что вы печатаете для работы.
Используйте виджет "улучшить вопрос", чтобы отредактировать свой вопрос и предоставить более подробную информацию.

2 Ответов

Рейтинг:
1

MadMyche

Небезопасный транспорт - OWASP[^]

Небезопасный Транспорт: Описание

Конфигурация приложения должна гарантировать, что SSL используется для всех страниц, контролируемых доступом.

Если приложение использует SSL для обеспечения конфиденциальной связи с клиентскими браузерами, конфигурация приложения должна сделать невозможным просмотр любой страницы, контролируемой доступом, без SSL. Однако нередкой проблемой является то, что конфигурация приложения не обеспечивает принудительное использование SSL на страницах, содержащих конфиденциальные данные.

Существует три распространенных способа обхода SSL:
1. пользователь вручную вводит URL-адрес и вводит "HTTP", а не "HTTPS".
2. Злоумышленники намеренно отправляют пользователя на небезопасных URL-адрес.
3. программист ошибочно создает относительную ссылку на страницу в приложении, не сумев переключиться с HTTP на HTTPS.
1. Вам понадобится SSL и использовать протоколы HTTPS.
2. Вам понадобится способ правильно Redirect трафик, поступающий по протоколу HTTP.

Мой предпочтительный способ для установленный веб-сайт должен дублироваться как сайт только для SSL, а исходный небезопасный сайт проверяет только входящие запросы и, если URL-адрес действителен, генерирует 301 перенаправление на URL-адрес HTTPS.

Рейтинг:
0

Gerry Schmitz

Цитата:
нужно ли нам использовать Https для размещения приложения


Обычно это происходит, если вы становитесь "публичным"; в противном случае передачи не шифруются.