使用加密通道传输密码和敏感数据的测试。

所有敏感数据(如密码、登录名或信用卡号)都应通过客户端和服务器之间的加密通道发送。 这样可以保护用户免受中端攻击中的人的攻击,攻击者被固定在用户和当前使用的网络之间的通信上。 它能够访问受害者传输的所有信息,因此能够在未加密数据的情况下拦截、修改或销毁这些信息。 因此,需要适当的保障措施来保护传输的数据。 信息管理员应自行决定应用何种类型的保护。 这可能是 SSL/TLS 数据加密协议,以及另一种加密保护措施,如电子邮件加密和收件人的公钥。 下图显示了捕获的未加密数据包的视图,其中包含网络流量窃听程序的凭据。 截获包含凭据的未加密数据包

特征。 捕获了包含凭据的未加密数据包。 资料来源:[自己的研究]

在测试的一个应用程序中,与服务器的通信使用 HTTP,HTTP 未加密。 通过该通道传输的所有数据都可以在传输过程中被截获和修改。 下图显示了火狐不是加密的消息视图。 查看没有来自火狐的加密的消息

特征。 查看没有来自 Firefox 加密的消息。 资料来源:[自己的研究]

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注