CWE-5: J2EE Misconfiguration: Data Transmission Without Encryption
Đặc điểm của điểm yếu này thì thông tin được gửi qua mạng có thể bị xâm phạm trong quá trình truyền tải. Kẻ tấn công có thể đọc hoặc sửa đổi nội dung nếu dữ liệu được gửi dưới dạng văn bản thuần túy hoặc được mã hóa yếu.
Xin lưu ý đây là bản dịch sang tiếng Việt để bạn tham khảo, để tìm hiểu chính xác và chi tiết hơn thì vui lòng xem thêm tài liệu gốc của MITRE Corporation trong phần mục Tham khảo.
Xin lưu ý đây là bản dịch sang tiếng Việt để bạn tham khảo, để tìm hiểu chính xác và chi tiết hơn thì vui lòng xem thêm tài liệu gốc của MITRE Corporation trong phần mục Tham khảo.
Mối quan hệ của điểm yếu này
Điểm yếu này là con của:
- CWE-319: Cleartext Transmission of Sensitive Information
Điểm yếu này là thành viên của các phân loại sau đây:
- CWE-Cat-2: 7PK-Environment
- CWE-Cat-731: OWASP Top Ten 2004 Category A10 - Insecure Configuration Management
- CWE-Cat-963: SFP Secondary Cluster: Exposed Data
- CWE-Cat-1402: Comprehensive Categorization: Encryption
Các công nghệ có thể dính điểm yếu này
- Ngôn ngữ lập trình: Java (Tỉ lệ phổ biến: Chưa xác định được)
Ảnh hưởng của điểm yếu này
- Tính bảo mật: Kẻ tấn công có khả năng đọc được dữ liệu của ứng dụng
- Tính toàn vẹn: Kẻ tấn công có khả năng chỉnh sửa được dữ liệu của ứng dụng
Cách giảm thiểu ảnh hưởng
Cấu hình hệ thống
Cấu hình hệ thống phải đảm bảo sử dụng chứng thư SSL hoặc cơ chế mã hóa có độ mạnh tương đương và uy tín đã được kiểm tra cho tất cả các trang được kiểm soát quyền truy cập.
Hành động khác
Nếu một ứng dụng sử dụng SSL để đảm bảo giao tiếp bảo mật với trình duyệt của máy khách, thì cấu hình của ứng dụng đó cần đảm bảo rằng không thể xem bất kỳ trang nào yêu cầu quyền truy cập mà không qua SSL.
Có ba cách phổ biến mà SSL có thể bị bỏ qua:
- Người dùng tự tay nhập URL và gõ “HTTP” thay vì “HTTPS”.
- Kẻ tấn công cố ý gửi người dùng đến một URL không bảo mật.
- Lập trình viên vô tình tạo ra một liên kết tương đối đến một trang trong ứng dụng, không chuyển từ HTTP sang HTTPS. (Điều này đặc biệt dễ xảy ra khi liên kết di chuyển giữa các khu vực công khai và bảo mật trên một trang web.)
Tham khảo
- [REF-6] Katrina Tsipenyuk, Brian Chess và Gary McGraw. "Seven Pernicious Kingdoms: A Taxonomy of Software Security Errors". NIST Workshop tại Software Security Assurance Tools Techniques and Metrics. 2005 November 7. NIST. <https://samate.nist.gov/SSATTM_Content/papers/Seven%20Pernicious%20Kingdoms%20-%20Taxonomy%20of%20Sw%20Security%20Errors%20-%20Tsipenyuk%20-%20Chess%20-%20McGraw.pdf >
- CWE-5: J2EE Misconfiguration: Data Transmission Without Encryption trên trang chính thức của CWE MITRE Corporation <https://cwe.mitre.org/data/definitions/5.html>
Bình luận