9.傳輸保護不足

薄弱的傳輸保護( Insufficient Transpol't Layer Protection)，是指Web應用在需要傳輸敏感信息時沒有使用安全的傳輸通道，從而導致敏感信息泄漏，或被惡意篡改。

Web應用程序在編寫時，由于沒有進行仔細安全設計，結果沒有提供保護網絡數據流的措施，如身份認證、數據加密、完整性保護等，或在保護時采用了弱算法、使用過期或無效的數字證書等。如有的Web應用在身份驗證過程中使用SSL/TLS協議進行保護，但是傳輸數據時沒有使用，因此會暴露簇傳輸的敏感數據和會話ID等信息。