由于在线应用程序每天都在泛滥，因此并非所有应用程序都受到保护。许多Web应用程序不能正确保护敏感的用户数据，例如信用卡信息/银行帐户信息/身份验证凭据。黑客最终可能会窃取那些保护不力的数据，以进行信用卡欺诈，身份盗窃或其他犯罪。

让我们借助简单的图表了解此漏洞的威胁代理，攻击媒介，安全漏洞，技术影响和业务影响。

例

安全配置错误的一些经典示例如下-

• 站点根本不会对所有经过身份验证的页面使用SSL。这使攻击者可以监视网络流量并窃取用户的会话cookie，以劫持用户会话或访问其私有数据。

• 应用程序将信用卡号以加密格式存储在数据库中。在检索时，它们会被解密，从而使黑客能够执行SQL注入攻击，以明文形式检索所有敏感信息。通过使用公用密钥对信用卡号进行加密，并允许后端应用程序使用私钥对它们进行解密，可以避免这种情况。

动手

步骤1-启动WebGoat，然后导航到“不安全的存储”部分。相同的快照显示在下面。

步骤2-输入用户名和密码。现在该学习我们之前讨论的不同类型的编码和加密方法了。

预防机制

• 建议不要不必要地存储敏感数据，如果不再需要，则应尽快将其废弃。

• 重要的是要确保我们采用了强大且标准的加密算法，并且适当的密钥管理到位。

• 也可以通过在收集敏感数据(例如密码)的表单上禁用自动完成功能，并对包含敏感数据的页面禁用缓存来避免这种情况。