敏感数据暴露
随着在线应用程序日复一日地涌入互联网,并非所有应用程序都受到保护。许多Web应用程序无法正确保护敏感用户数据,如信用卡信息/银行帐户信息/身份验证凭据。黑客可能最终窃取这些受到弱保护的数据,以进行信用卡欺诈,身份盗窃或其他犯罪。
下面我们来了解这个漏洞的威胁代理,攻击向量,安全弱点,技术影响和业务影响。
- 威胁代理 - 谁可以访问您的敏感数据和任何数据备份。有外部和内部威胁。
- 攻击者的方法 - 做中间人攻击,或从服务器窃取明文数据。
- 安全弱点 - 最常见的缺陷是不加密敏感数据。
- 如何发现缺陷 - 浏览器的弱点很常见且易于检测。外部攻击者由于访问受限而难以检测服务器端漏洞。
- 技术影响 - 信息丢失 - 包括凭据,个人数据,信用卡等敏感数据。
- 业务影响 - 如果披露此数据,则承担法律责任? 损害您的声誉。
示例
一些安全性错误配置的典型例子如下 -
- 网站根本不对所有经过身份验证的网页使用SSL。这使攻击者能够监视网络流量并窃取用户的会话cookie以劫持用户会话或访问其私有数据。
- 应用程序将加密格式的信用卡号存储在数据库中。检索后它们被解密,允许黑客执行SQL注入攻击,以明文形式检索所有敏感信息。这可以通过使用公钥加密信用卡号并允许后端应用程序使用私钥解密它们来避免。
动手实践
第1步 - 启动WebGoat并导航到“Insecure Storage”部分。参考以下图片 -
- 第2步 - 输入用户名和密码。下面学习我们之前讨论过的不同类型的编码和加密方法。
预防机制
- 建议不要不必要地存储敏感数据,如果不再需要,应尽快删除。
- 重要的是要确保我们使用强大的标准加密算法并使用适当的密钥管理。
- 通过在收集敏感数据(如密码)的表单上禁用自动完成功能以及禁用包含敏感数据的页面的缓存,也可以避免此问题。