- 安全测试教程
- 安全测试 - 主页
- 安全测试 - 概述
- 安全测试 - 流程
- 安全测试-恶意软件
- HTTP 协议基础知识
- HTTPS 协议基础知识
- 编码与解码
- 安全测试-密码学
- 安全测试 - 同源策略
- 安全测试 - Cookie
- 黑客网络应用程序
- 安全测试-注入
- 测试损坏的身份验证
- 测试跨站脚本
- 不安全的直接对象引用
- 测试安全配置错误
- 测试敏感数据暴露
- 缺少功能级别访问控制
- 跨站请求伪造
- 有漏洞的组件
- 未经验证的重定向和转发
- 安全测试 - Ajax 安全
- 测试安全性 - Web 服务
- 安全测试 - 缓冲区溢出
- 安全测试 - 拒绝服务
- 测试恶意文件执行
- 安全测试 - 自动化工具
- 安全测试有用的资源
- 安全测试 - 快速指南
- 安全测试 - 有用的资源
- 安全测试 - 讨论
安全测试-敏感数据暴露
随着在线应用程序日益充斥互联网,并非所有应用程序都是安全的。许多 Web 应用程序无法正确保护敏感的用户数据,例如信用卡信息/银行帐户信息/身份验证凭据。黑客最终可能会窃取这些保护薄弱的数据,以进行信用卡欺诈、身份盗窃或其他犯罪。
让我们借助简单的图表了解该缺陷的威胁代理、攻击向量、安全弱点、技术影响和业务影响。
例子
安全配置错误的一些经典示例如下:
站点根本不会对所有经过身份验证的页面使用 SSL。这使得攻击者能够监视网络流量并窃取用户的会话 cookie 以劫持用户会话或访问其私人数据。
应用程序以加密格式将信用卡号存储在数据库中。检索后,它们会被解密,从而允许黑客执行 SQL 注入攻击,以明文形式检索所有敏感信息。可以通过使用公钥加密信用卡号并允许后端应用程序使用私钥对其进行解密来避免这种情况。
动手
步骤 1 - 启动 WebGoat 并导航至“不安全存储”部分。下面显示了相同的快照。
步骤 2 - 输入用户名和密码。现在是学习我们之前讨论的不同类型的编码和加密方法的时候了。
预防机制
建议不要存储不必要的敏感数据,如果不再需要,应尽快删除。
重要的是要确保我们采用强大且标准的加密算法,并采取适当的密钥管理。
还可以通过禁用收集密码等敏感数据的表单上的自动完成功能并禁用包含敏感数据的页面的缓存来避免这种情况。