隨著線上應用程式日復一日地湧入互聯網,並非所有應用程式都受到保護。許多Web應用程式無法正確保護敏感用戶數據,如信用卡資訊/銀行帳戶資訊/身份驗證憑據。駭客可能最終竊取這些受到弱保護的數據,以進行信用卡欺詐,身份盜竊或其他犯罪。
下麵我們來瞭解這個漏洞的威脅代理,攻擊向量,安全弱點,技術影響和業務影響。
- 威脅代理 - 誰可以訪問您的敏感數據和任何數據備份。有外部和內部威脅。
- 攻擊者的方法 - 做中間人攻擊,或從伺服器竊取明文數據。
- 安全弱點 - 最常見的缺陷是不加密敏感數據。
- 如何發現缺陷 - 流覽器的弱點很常見且易於檢測。外部攻擊者由於訪問受限而難以檢測伺服器端漏洞。
- 技術影響 - 資訊丟失 - 包括憑據,個人數據,信用卡等敏感數據。
- 業務影響 - 如果披露此數據,則承擔法律責任? 損害您的聲譽。
示例
一些安全性錯誤配置的典型例子如下 -
- 網站根本不對所有經過身份驗證的網頁使用SSL。這使攻擊者能夠監視網路流量並竊取用戶的會話cookie以劫持用戶會話或訪問其私有數據。
- 應用程式將加密格式的信用卡號存儲在資料庫中。檢索後它們被解密,允許駭客執行SQL注入攻擊,以明文形式檢索所有敏感資訊。這可以通過使用公鑰加密信用卡號並允許後端應用程式使用私鑰解密它們來避免。
動手實踐
第1步 - 啟動WebGoat並導航到“Insecure Storage”部分。參考以下圖片 -
- 第2步 - 輸入用戶名和密碼。下麵學習我們之前討論過的不同類型的編碼和加密方法。
預防機制
- 建議不要不必要地存儲敏感數據,如果不再需要,應儘快刪除。
- 重要的是要確保我們使用強大的標準加密演算法並使用適當的密鑰管理。
- 通過在收集敏感數據(如密碼)的表單上禁用自動完成功能以及禁用包含敏感數據的頁面的緩存,也可以避免此問題。