OWASP TOP 10 之敏感数据泄露

这篇具有很好参考价值的文章主要介绍了OWASP TOP 10 之敏感数据泄露。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

 许多Web应用程序和APl都无法正确保护敏感数据,例如: 财务数据、医疗数据和PII数据。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此我们需要对敏感数据加密,这些数据包括: 传输过程中的数据、存储的数据以及浏览器的交互数据。

攻击者不是直接攻击密码,而是在传输过程中或从客户端(例如: 浏览器窃取密钥、发起中间人攻击,或从服务器端窃取明文数据。这通常需要手动攻击。通过使用图形处理单元(GPU) ,早前检索的密码数据库可能被暴力破解。

是在最近几年,这是最常见的、最具影响力的攻击。这个领域最常见的漏洞是不对敏感信息进行加密。在数据加密过程中,常见的问题是不安全的密钥生成和管理以及使用弱加密算法、弱协议和弱密码。特别是使用弱的哈希算法来保护密码。在服务器端,检测传输过程中的数据弱点很容易,但检测存储数据的弱点却非常困难。

一、哪些数据是敏感数据?

  • 医疗记录、个人信息、商业机密...
  • 密码、信用卡卡号、
  • 传输过程中的数据
  • 需要加密的存储数据
  • 隐私法律或条例中规定需要加密的数据,如: 欧盟《通用数据保护条例》(GDPR)
  • 金融数据保护条例,如:《支付卡行业数据安全标准》 (PCI DSS)

二、漏洞产生的原因

在数据传输过程中使用明文传输,这和传输协议相关,如: HTTP、SMTP和FTP数据存储时使用旧的或脆弱的加密算法使用默认加密密钥;生成或重用弱加密密钥;缺少适当的密钥管理或轮未强制加密,例如用户代理(浏览器)安全指令或头文件缺失用户代理(例如,应用程序,邮件客户端)未验证接收到的服务器证书是否有效。

三、漏洞产生的影响

敏感数据泄露频繁影响那些本应该加密的数据。通常情况下,这些数据包括很多个人敏感信息 (PII), 例如: 医疗记录、认证凭证、个人隐私、信用卡信息等。这些信息受到相关法律和条例保护,例如: 欧盟《通用数据保护条例》 (GDPR)和地方隐私保护法律。

四、攻击案例场景

场景1:
一个应用程序使用自动化的数据加密系统来加密信用卡信息,并存储在数据库中。但是,当数据被检索时会被自动解密,这就使得攻击者能利用SQL注入漏洞以明文形式获得所有信用卡卡号。
场景2:
一个网站上对所有网页没有使用或强制使用TLS,或者使用弱加密。攻击者通过监测网络流量(如:不安全的无线网络),将网络连接从HTTPS降级到HTTP,就可以截取请求并窃取用户会话 cookie。 之后,攻击者可以复制用户cookie并成功劫持经过认证的用户会话、访问或修改用户个人信息。除此之外,攻击者还可以更改所有传输过程中的数据,例如:转款的接收者。
场景3:
一个文件上传漏洞使黑客能够获取密密码数据库使用未加盐的哈希算法或弱哈希算法去存储每个人的密码。码文件。所有这些unsalted哈希的密码通过彩虹表暴力破解方式破解。

五、如何防御
架构设计
对系统处理、存储或传输的数据进行分类,并根据分类实施访问控制。
存储保护
对于没必要存放的、重要的敏感数据,应当尽快清除,或者通过PCI DSS标记或拦截。确保存储的所有敏感数据被加密禁止缓存对包含敏感数据的响应。
传输保护

  • 确保传输过程中的数据被加密,如:使用TLS。
  • 确保数据加密被强制执行,如: 使用HTTP严格安全传输协议 (HSTS)。

标准化

  • 熟悉与敏感数据保护相关的法律和条例,并根据每项法规要求保护敏感数据。
  • 确保使用密码专用算法存储密码,如:Argon2、 scrypt、bcrypt 或者PBKDF2。
  • 确保使用了最新的、强大的标准算法或密码、参数、协议和密钥,并且保证密钥管理到位
  • 单独验证每个安全配置项的有效性。

源代码审计 点此链接 可领取。另外,其中还包含第三方组件安全分析检测,对软件源代码安全漏洞和软件中的开源组件漏洞进行全面评估,全方位提升应用安全性。文章来源地址https://www.toymoban.com/news/detail-776783.html

到了这里,关于OWASP TOP 10 之敏感数据泄露的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2023_OWASP TOP10_漏洞详情

    OWASP TOP 10 漏洞讲解 1 、 s q l 注入 1、sql注入 1 、 s ql 注入 原理: SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的 sql 语句来实现对数据库的任意操作。 ​

    2024年02月06日
    浏览(58)
  • 网安云知识 | OWASP TOP 10之安全配置错误

    这些漏洞使攻击者能经常访问一些未授权的系统数据或功能。有时,这些漏洞导致系统的完全攻破。业务影响取决于您的应用程序和数据的保护需求。 安全配置错误可能发生在应用程序堆栈的任何级别,包括网络服务、平台、Web服务器应用服务器、数据库、框架、自定义代码

    2024年03月09日
    浏览(40)
  • OWASP TOP 10漏洞的原理 和攻击方式以及防御方法

    OWASP TOP 10漏洞是指由Open Web Application Security Project(OWASP)组织发布的当前最严重、最普遍的10种Web应用程序安全漏洞。以下是每种漏洞的原理、攻击方式和防御方法。 注入漏洞(Injection) 原理:攻击者向应用程序中输入恶意代码,使其执行未经授权的操作。 攻击方式:SQL注

    2024年02月07日
    浏览(54)
  • 从OWASP API Security TOP 10谈API安全

    应用程序编程接口(API)是当今应用驱动世界创新的一个基本元素。从银行、零售、运输到物联网、 自动驾驶汽车、智慧城市,API 是现代移动、SaaS 和 web 应用程序的重要组成部分,可以在面向客 户、面向合作伙伴和内部的应用程序中找到。 从本质上讲,API 暴露了应用程序

    2024年04月25日
    浏览(44)
  • TWO DAY | WEB安全之OWASP TOP10漏洞

    TWO DAY | WEB安全之OWASP TOP10漏洞 OWASP:开放式Web应用程序安全项目(Open Web Application Security Project),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对

    2024年02月12日
    浏览(39)
  • owasp top10之不安全的反序列化

    ​ 更多网络安全干货内容: 点此获取 ——————— Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。 将序列化对象写入文件之后,可以从文件中读取

    2024年01月22日
    浏览(43)
  • 网络安全入门必知的OWASP top 10漏洞详解

    0、OWASP Top10是什么? 首先介绍下OWASP,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信

    2024年02月08日
    浏览(35)
  • OWASP TOP10 大主流漏洞原理和防范措施,易理解版

    章节目录 回顾2017年和2021年OWASP主流漏洞都有哪些 一、访问控制崩溃 表现形式 防范 二、敏感数据暴露 防范 三、注入 sql注入分类 SQL盲注 SQL注入产生点 SQL注入的思路 盲注测试的思路 防范SQL 四、不安全的设计 产生的原因 业务漏洞的显现体现 五、安全配置不当 风险点 防范

    2024年02月05日
    浏览(38)
  • WEB十大安全漏洞(OWASP Top 10)与渗透测试记录

            每年 OWASP(开放 Web 应用程序安全项目)都会发布十大安全漏洞。它代表了对 Web 应用程序最关键的安全风险的广泛共识。了解十大WEB漏洞种类并善于在渗透测试中发现漏洞是安全行业人员的基本要求。 1.失效的访问控制 2.加密机制失效 3.注入 4.不安全的设计 5.安

    2024年02月02日
    浏览(54)
  • 移动应用数据安全性:如何防止应用程序被黑客攻击和数据泄露?

    在移动应用成为人们生活中不可或缺的一部分的今天,数据安全性已经成为一个非常重要的问题。随着黑客攻击和数据泄露事件的频繁发生,用户对于移动应用程序的信任度也在逐渐下降。本文将探讨移动应用数据安全性的重要性,并提供一些有效的技术措施来防止应用程序

    2024年02月08日
    浏览(58)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包