安全测试 - 敏感数据泄露

随着在线应用程序日复一日地涌入互联网，并非所有应用程序都是安全的。许多网络应用程序没有正确保护敏感的用户数据，例如信用卡信息/银行帐户信息/身份验证凭据。黑客最终可能会窃取这些保护薄弱的数据来进行信用卡欺诈、身份盗窃或其他犯罪。

让我们借助简单的图表了解此漏洞的威胁代理、攻击媒介、安全漏洞、技术影响和业务影响。

示例

一些典型的安全配置错误示例如下 −

• 网站根本没有对所有经过身份验证的页面使用 SSL。这使攻击者能够监视网络流量并窃取用户的会话 cookie，从而劫持用户会话或访问其私人数据。

• 应用程序将信用卡号以加密格式存储在数据库中。检索后，它们将被解密，从而允许黑客执行 SQL 注入攻击以明文形式检索所有敏感信息。可以通过使用公钥加密信用卡号并允许后端应用程序使用私钥解密它们来避免这种情况。

动手操作

步骤 1 − 启动 WebGoat 并导航到"不安全存储"部分。下面显示了相同的快照。

步骤 2 − 输入用户名和密码。现在是时候学习我们之前讨论过的不同类型的编码和加密方法了。

预防机制

• 建议不要不必要地存储敏感数据，如果不再需要，应尽快将其删除。

• 重要的是确保我们采用强大且标准的加密算法，并实施适当的密钥管理。

• 也可以通过禁用收集敏感数据（如密码）的表单上的自动完成功能并禁用包含敏感数据的页面的缓存来避免这种情况。