- 安全測試教程
- 安全測試 - 首頁
- 安全測試 - 概述
- 安全測試 - 流程
- 安全測試 - 惡意軟體
- HTTP 協議基礎
- HTTPS 協議基礎
- 編碼和解碼
- 安全測試 - 密碼學
- 安全測試 - 同源策略
- 安全測試 - Cookie
- 駭客攻擊 Web 應用程式
- 安全測試 - 注入
- 測試身份驗證失效
- 測試跨站指令碼攻擊
- 不安全的直接物件引用
- 測試安全配置錯誤
- 測試敏感資料洩露
- 缺少功能級訪問控制
- 跨站請求偽造
- 存在漏洞的元件
- 未經驗證的重定向和轉發
- 安全測試 - Ajax 安全
- 測試安全 - Web 服務
- 安全測試 - 緩衝區溢位
- 安全測試 - 拒絕服務
- 測試惡意檔案執行
- 安全測試 - 自動化工具
- 安全測試有用資源
- 安全測試 - 快速指南
- 安全測試 - 有用資源
- 安全測試 - 討論
安全測試 - 敏感資料洩露
隨著網路應用程式日益增多,並非所有應用程式都具備安全性。許多 Web 應用程式沒有妥善保護敏感使用者資料,例如信用卡資訊/銀行賬戶資訊/身份驗證憑據。駭客可能會竊取這些保護不力的資料來進行信用卡欺詐、身份盜竊或其他犯罪活動。
讓我們藉助簡單的圖表瞭解此缺陷的威脅主體、攻擊媒介、安全弱點、技術影響和業務影響。
示例
安全配置錯誤的一些典型示例如下所示:
某個網站根本沒有為所有經過身份驗證的頁面使用 SSL。這使得攻擊者能夠監控網路流量並竊取使用者的會話 Cookie,從而劫持使用者會話或訪問其私密資料。
某個應用程式以加密格式將信用卡號碼儲存在資料庫中。檢索時會對其進行解密,這使得駭客能夠執行 SQL 注入攻擊以明文檢索所有敏感資訊。可以透過使用公鑰加密信用卡號碼,並允許後端應用程式使用私鑰對其進行解密來避免這種情況。
動手操作
步驟 1 - 啟動 WebGoat 並導航到“不安全儲存”部分。下面顯示了同一部分的快照。
步驟 2 - 輸入使用者名稱和密碼。現在是時候學習我們之前討論過的不同型別的編碼和加密方法了。
預防機制
建議不要無必要地儲存敏感資料,如果不再需要,應儘快將其刪除。
務必確保我們採用了強大且標準的加密演算法,並建立了適當的金鑰管理機制。
還可以透過停用收集敏感資料(如密碼)的表單的自動填充功能,以及停用包含敏感資料的頁面的快取來避免這種情況。
廣告