Insecure TLS certificate domain name validation

不安全的 TLS 证书域名验证

风险: 中

描述

应用程序未执行适当的 TLS 证书验证，这使其容易受到中间人攻击。

建议

几乎所有网络库中都默认启用了 TLS 证书验证，请检查您的代码和配置以确保您没有明确禁用它。

链接

• 在 SSL/TLS 上正确验证服务器证书 (CERT Secure Coding)

标准

• PCI_STANDARDS:
  • REQ_2_2
  • REQ_4_2
  • REQ_11_3
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_6_7
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213