• 敏感信息泄露


    敏感信息泄露

    • 我们常说数据的安全性是极为重要的, 而在程序人员的编程过程中, 由于有些需求或是设计的问题, 往往会造成特别是机密数据的安全性得不到保证, 常见的不安全的数据存储中的数据进行破解。
    • 敏感信息泄露设计两个方面:

    1 、存储
    2 、传输过程 http、https

    敏感信息泄露表现形式

    • 在这个领域最常见的漏洞是应该加密的数据不进行加密。
    • 在使用加密的情况下, 常见的问题是不安全的密钥生成和冒理和使用弱算法是很普遍的, 特别是使用弱的哈希算法来保护密码。
    • 浏览器的漏洞也很普遍, 且可以很轻易的检测到, 但是很难大规模的利用。
    • 敏感信息

    加密算法如下:

    常见敏感信息

    运维层面:
    - 日志
    - 备份文件
    - 配置文件
    应用层面:
    - 用户信息
    - 通信录
    - 邮箱

    敏感信息泄露案例

    • 案例1 : 一个网站上所有需要身份验证的网页都没有使用SSL 。攻击者只需监控网络数据流( 比如一个开放的无线网络或其社区的有线网络) , 并窃取一个已验证的受害者的会话cookie 。

    然后, 攻击者利用这个cookie 执行重放攻井接管用户的会话从而访问用户的隐私数据。

    • 案例2 : 密码数据库使用unsalted 的哈希算法去存储每个人的密码。一个文件上传漏洞使黑客能够获取密码文件。所有这些unsalted哈希的密码通过彩虹表暴力破解方式破解。

    敏感数据防护检查

    对于敏感数据, 应当确保:
    1 · 当这些数据被长期存储的时候, 无论存储在哪里, 它们是否都被加密,特别是对这些数据的备份
    2 · 无论内部数据还是外部数据, 在互联网中传输明文数据是非常危险的。
    3 · 是否还在使用任何旧的或脆弱的加密算法
    4 · 加密密钥的生成是否是脆弱的, 或者缺少恰当的密钥管理或缺少密钥回转?

    敏感信息泄露的预防

    1 · 顺测一些威胁, 加密这些数据的存储以确保免受这些威胁。
    2 · 对于没必要存放的、重要的敏感数据, 应当尽快清除。
    3 · 确保使用了合适的强大的标准去和强大的密匙, 井且密匙管理到位
    4 · 确保使用密码专用算法存储密码, 如: bcrypt 、PBKDF2 或scrypt
    5 · 禁用自动完成防止敏感数据收集, 禁用包含敏感数据的缓存页面。

  • 相关阅读:
    左右对齐Justify遇到的坑
    JS中的相等性判断===, ==, Object.is()
    JS调用栈的一些总结
    VueI18n
    【转】Webpack 快速上手(下)
    【转】Webpack 快速上手(中)
    【转】Webpack 快速上手(上)
    springboot打包排除指定jar包依赖
    prometheus+grafana搭建
    fbctf 安装部署出现的问题
  • 原文地址:https://www.cnblogs.com/52kj/p/12444217.html
Copyright © 2020-2023  润新知