敏感資料暴露
隨著線上應用程式日復一日地湧入網際網路,並非所有應用程式都受到保護。許多Web應用程式無法正確保護敏感使用者資料,如信用卡資訊/銀行帳戶資訊/身份驗證憑據。駭客可能最終竊取這些受到弱保護的資料,以進行信用卡欺詐,身份盜竊或其他犯罪。
下面我們來了解這個漏洞的威脅代理,攻擊向量,安全弱點,技術影響和業務影響。
- 威脅代理 - 誰可以存取您的敏感資料和任何資料備份。有外部和內部威脅。
- 攻擊者的方法 - 做中間人攻擊,或從伺服器竊取明文資料。
- 安全弱點 - 最常見的缺陷是不加密敏感資料。
- 如何發現缺陷 - 瀏覽器的弱點很常見且易於檢測。外部攻擊者由於存取受限而難以檢測伺服器端漏洞。
- 技術影響 - 資訊丟失 - 包括憑據,個人資料,信用卡等敏感資料。
- 業務影響 - 如果披露此資料,則承擔法律責任? 損害您的聲譽。
範例
一些安全性錯誤組態的典型例子如下 -
- 網站根本不對所有經過身份驗證的網頁使用SSL。這使攻擊者能夠監視網路流量並竊取使用者的對談cookie以劫持使用者對談或存取其私有資料。
- 應用程式將加密格式的信用卡號儲存在資料庫中。檢索後它們被解密,允許駭客執行SQL隱碼攻擊攻擊,以明文形式檢索所有敏感資訊。這可以通過使用公鑰加密信用卡號並允許後端應用程式使用私鑰解密它們來避免。
動手實踐
第1步 - 啟動WebGoat並導航到「Insecure Storage」部分。參考以下圖片 -
- 第2步 - 輸入使用者名和密碼。下面學習我們之前討論過的不同型別的編碼和加密方法。
預防機制
- 建議不要不必要地儲存敏感資料,如果不再需要,應盡快刪除。
- 重要的是要確保我們使用強大的標準加密演算法並使用適當的金鑰管理。
- 通過在收集敏感資料(如密碼)的表單上禁用自動完成功能以及禁用包含敏感資料的頁面的快取,也可以避免此問題。