类型: 安全缺陷
当进行SSL连接时,服务器身份验证处于禁用状态。在某些使用SSL连接的库中,默认情况下不验证服务器证书。这相当于信任所有证书。
SimpleEmail email = new SimpleEmail();email.setHostName("smtp.testemail.com");email.setCharset("UTF-8");email.setSmtpPort(25);email.setAuthenticator(new DefaultAuthenticator(name, pwd));email.setSSLOnConnect(true);email.setFrom("test@163.com");email.setSubject("测试主题");email.setMsg("邮件内容");email.addTo("admin@163.com");email.send();
当尝试连接到smtp.testemail.com:25时,此应用程序将随时接受颁发给hackedserver.com的证书。此时,当服务器被黑客攻击发生SSL连接中断时,应用程序可能会泄漏用户敏感信息。
若有收获,就点个赞吧
0 人点赞
