9.傳輸保護(hù)不足

薄弱的傳輸保護(hù)( Insufficient Transpol't Layer Protection)，是指Web應(yīng)用在需要傳輸敏感信息時(shí)沒(méi)有使用安全的傳輸通道，從而導(dǎo)致敏感信息泄漏，或被惡意篡改。

Web應(yīng)用程序在編寫(xiě)時(shí)，由于沒(méi)有進(jìn)行仔細(xì)安全設(shè)計(jì)，結(jié)果沒(méi)有提供保護(hù)網(wǎng)絡(luò)數(shù)據(jù)流的措施，如身份認(rèn)證、數(shù)據(jù)加密、完整性保護(hù)等，或在保護(hù)時(shí)采用了弱算法、使用過(guò)期或無(wú)效的數(shù)字證書(shū)等。如有的Web應(yīng)用在身份驗(yàn)證過(guò)程中使用SSL/TLS協(xié)議進(jìn)行保護(hù)，但是傳輸數(shù)據(jù)時(shí)沒(méi)有使用，因此會(huì)暴露簇傳輸?shù)拿舾袛?shù)據(jù)和會(huì)話(huà)ID等信息。