安全测试 – 敏感数据暴露

随着在线应用程序日益涌入互联网，并非所有应用程序都是安全的。许多 Web 应用程序没有正确保护敏感的用户数据，例如信用卡信息/银行帐户信息/身份验证凭据。黑客最终可能会窃取那些保护不力的数据，以进行信用卡欺诈、身份盗用或其他犯罪活动。

让我们借助简单的图表了解此漏洞的威胁代理、攻击向量、安全弱点、技术影响和业务影响。

例子

给出了一些安全配置错误的经典示例 –

• 站点根本不会对所有经过身份验证的页面使用 SSL。这使攻击者能够监控网络流量并窃取用户的会话 cookie 以劫持用户会话或访问他们的私人数据。

• 应用程序将信用卡号以加密格式存储在数据库中。检索后，它们被解密，允许黑客执行 SQL 注入攻击，以明文形式检索所有敏感信息。这可以通过使用公钥加密信用卡号并允许后端应用程序使用私钥解密来避免。

动手

步骤 1 – 启动 WebGoat 并导航到“不安全存储”部分。下面显示了相同的快照。

步骤 2 – 输入用户名和密码。是时候学习我们之前讨论过的不同类型的编码和加密方法了。

预防机制

• 建议不要存储不必要的敏感数据，如果不再需要，应尽快抓取。

• 确保我们采用了强大的标准加密算法并实施了适当的密钥管理，这一点很重要。

• 还可以通过在收集敏感数据（例如密码）的表单上禁用自动完成功能并禁用包含敏感数据的页面的缓存来避免这种情况。