📜  安全测试-敏感数据公开

📅  最后修改于: 2020-12-04 05:20:58             🧑  作者: Mango


由于在线应用程序每天都在泛滥,因此并非所有应用程序都受到保护。许多Web应用程序不能正确保护敏感的用户数据,例如信用卡信息/银行帐户信息/身份验证凭据。黑客最终可能会窃取那些保护不力的数据,以进行信用卡欺诈,身份盗窃或其他犯罪。

让我们借助简单的图表了解此漏洞的威胁代理,攻击媒介,安全漏洞,技术影响和业务影响。

sensitive_data_exposture

安全配置错误的一些经典示例如下-

  • 站点根本不会对所有经过身份验证的页面使用SSL。这使攻击者可以监视网络流量并窃取用户的会话cookie,以劫持用户会话或访问其私有数据。

  • 应用程序将信用卡号以加密格式存储在数据库中。在检索时,它们会被解密,从而使黑客能够执行SQL注入攻击,以明文形式检索所有敏感信息。通过使用公用密钥对信用卡号进行加密,并允许后端应用程序使用私钥对它们进行解密,可以避免这种情况。

动手

步骤1-启动WebGoat,然后导航到“不安全的存储”部分。相同的快照显示在下面。

insecure_storage_1

步骤2-输入用户名和密码。现在该学习我们之前讨论的不同类型的编码和加密方法了。

预防机制

  • 建议不要不必要地存储敏感数据,如果不再需要,则应尽快将其废弃。

  • 重要的是要确保我们采用了强大且标准的加密算法,并且适当的密钥管理到位。

  • 也可以通过在收集敏感数据(例如密码)的表单上禁用自动完成功能,并对包含敏感数据的页面禁用缓存来避免这种情况。