开发手册 欢迎您!
软件开发者资料库

安全测试 - 敏感数据暴露

安全测试敏感数据暴露 - 从简单和简单的步骤学习安全测试从基本到高级概念,包括简介,社会工程,枚举,嗅探器,麻痹软件,协议基础知识,编码,密码学,同源策略,Cookie,基本知识CIA Triad,OWASP十大安全威胁,网络攻击,缓冲区溢出,会话劫持,自动化笔测试工具。

由于在线应用程序日复一日地涌入互联网,并非所有应用程序都受到保护.许多Web应用程序无法正确保护敏感用户数据,如信用卡信息/银行帐户信息/身份验证凭据.黑客可能最终窃取这些受到弱保护的数据,以进行信用卡欺诈,身份盗窃或其他犯罪.

让我们了解威胁代理,攻击媒介,安全弱点,技术影响和业务影响借助简单的图表来解决这个缺陷.

sensitive_data_exposture

示例

一些安全性错误配置的典型例子是给定

  • 网站根本不对所有经过身份验证的网页使用SSL.这使攻击者能够监控网络流量并窃取用户的会话cookie以劫持用户会话或访问其私人数据.

  • 应用程序存储信用卡号在数据库中以加密格式.检索后,它们被解密,允许黑客执行SQL注入攻击,以明文形式检索所有敏感信息.这可以通过使用公钥加密信用卡号码并允许后端应用程序使用私钥解密它们来避免.

动手

第1步启动WebGoat并导航到"不安全存储"部分.它的快照如下所示.

insecure_storage_1

第2步输入用户名和密码.是时候学习我们之前讨论过的不同类型的编码和加密方法.

预防机制

  • 建议不要不必要地存储敏感数据,如果不再需要,应尽快删除.

  • 这是确保我们使用强大的标准加密算法以及正确的密钥管理是非常重要的.

  • 通过在表单上禁用自动完成功能也可以避免这种情况.收集敏感数据,如密码,并禁用包含敏感数据的页面的缓存.