术语“敏感数据暴露”是指允许未授权方访问存储或传输的敏感信息,例如信用卡号或密码。全球范围内大多数重大安全漏洞都会导致某种敏感的数据泄露。

Acunetix利用攻击漏洞(例如Web漏洞)只是攻击者采取的第一步。进一步的步骤通常涉及以下三个目标之一:窃取敏感信息,植入恶意软件(例如,攻击其他目标或启用永久控制/间谍)或升级到其他系统(重复此选择)。显然,窃取诸如信用卡数据之类的敏感信息是攻击者最有利可图的目标,而大多数网络攻击都是由金钱驱动的,因此敏感数据暴露是最常见的攻击目标。

就像可以创建几乎没有漏洞的软件一样,也可以创建阻止攻击者访问敏感信息的软件。敏感的数据泄露是由于计算机系统和软件的不良设计或实施以及此类系统和软件的错误配置引起的。

定义敏感数据 Acunetix在构建Web应用程序时,必须明确定义您认为敏感的数据。虽然有些示例很明显,例如信用卡号,身份验证凭据或健康记录,但其他示例似乎并不那么简单。即使应用程序要在屏幕上显示一条信息,在传输和存储过程中仍可能认为该信息敏感。

Acunetix可以视为个人数据或私人数据的任何类型的数据均应视为敏感数据。这意味着甚至包括名字和姓氏,出生日期,甚至电子邮件地址之类的数据。犯罪分子会追捕此类数据,因为他们可以将从其他来源窃取的个人信息进行关联,以创建用于身份盗用的配置文件。

与财务相关的任何数据也应视为敏感数据,这不仅意味着信用卡号。例如,内部和国际银行帐号(IBAN)的银行帐号以及任何交易金额也应视为敏感号码。

根据您业务所从事的行业,某些数据不仅会被视为敏感数据,而且会被合规性法规所涵盖。确保所有数据的安全性,无论是在传输中还是在存储中,否则您将失去合规性。

传输过程中的敏感数据暴露漏洞 如今,Acunetix大多数网站和Web应用程序都可以通过安全的SSL / TLS连接进行访问。许多人甚至使用HTTP严格传输安全性(HSTS)来加强此类连接。因此,许多Web应用程序设计人员认为使用明文在客户端和服务器之间传输敏感信息是安全的。

这种心态是敏感数据在传输过程中暴露的主要原因。不幸的是,尽管SSL / TLS提供了高度的保护,但在某些情况下仍可能对网络流量进行中间人攻击(MITM)。如果攻击者以某种方式设法访问了Web应用程序和用户之间传输的数据,并且该数据包括(例如)信用卡号或明文密码,则攻击最终会导致敏感数据暴露。

因此,保护Web应用程序免受敏感数据泄露的最佳方法是永远不要使用明文传输任何敏感数据,而始终使用加密算法来保护它们。请注意,这些不应该是弱加密算法,因为攻击者可能会存储拦截的数据,并在以后尝试使用功能强大的GPU破坏加密。

存储中敏感的数据泄露漏洞 Acunetix安全地存储敏感数据与安全地传输数据同样重要,甚至更多。如果攻击者利用了一个漏洞并获得了访问您的网站或Web应用程序的权限(例如,使用SQL注入),则他们可能能够访问整个数据库的内容。如果任何敏感信息未经加密就存储在数据库中,则肯定会泄漏。

当存储敏感信息时,使用知名的,安全的和强大的加密算法比传输情况更为重要。一个弱算法将让上偷来的加密数据,攻击者快速运行蛮力攻击和解码的原始信息。

除了强大的数据库加密外,某些类型的敏感数据还需要额外的保护。例如,如果密码本身是弱密码,则即使使用最强算法加密或散列的密码也很容易被破坏。因此,避免常见的密码漏洞与加密或散列同样重要。

电子邮件中的敏感数据暴露漏洞 Acunetix令人震惊的是,有多少企业和机构忘记了电子邮件不是安全的渠道,绝不应该使用这种媒介来传输敏感数据。客户端和服务器之间的电子邮件连接可以被加密,但是服务器之间的连接通常使用纯文本进行。电子邮件正文也未加密。电子邮件的接收者无法控制他们的电子邮件内容的存储安全性,或者在客户端删除电子邮件时是否实际销毁了该电子邮件内容。

如果您的Web应用程序发送了电子邮件,则永远不要在电子邮件中发送任何敏感数据,而应使用Web应用程序本身来呈现或接受敏感信息。例如,永远不要通过电子邮件发送新密码,而应在网页上为用户显示该密码。机构也绝不应通过电子邮件以明文形式发送任何个人和敏感数据,不幸的是,这是许多国家/地区中许多政府机构进行处理的方式。

保护敏感数据 OWASP (开放Web应用程序安全性项目)认为敏感数据足够重要,可以将其作为单独的类别显示在OWASP Top 10中。在2017年版中,该类别被认为是第三大最常见的缺陷。我们还相信,在即将到来的2021年OWASP Top 10中,这一类别只会变得越来越重要。因此,您应该格外小心,以保护您的敏感信息并避免暴露敏感数据。

只要您在传输和存储过程中使用加密算法以及任何其他措施(例如适当的密钥管理)(使密钥与数据本身一样安全),保护敏感数据就非常容易。在某些情况下,您甚至不需要传输或存储加密数据,就可以使用哈希算法。密码散列是确保密码在传输和存储过程中都不会被盗的最有效方法。

Acunetix敏感的数据泄露–泄露如何发生的更多相关文章

  1. Java垃圾回收机制以及内存泄露

    1.Java的内存泄露介绍 首先明白一下内存泄露的概念:内存泄露是指程序执行过程动态分配了内存,可是在程序结束的时候这块内存没有被释放,从而导致这块内存不可用,这就是内存 泄露,重新启动计算机能够解决 ...

  2. [转帖]御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件

    御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件 https://zhuanlan.kanxue.com/article-8292.htm sqlserver的弱密码破解和提权攻击 ...

  3. ARC下内存泄露问题

    ARC下内存泄露问题 ARC下内存泄露问题,有需要的朋友可以参考下. iOS提供了ARC功能,很大程度上简化了内存管理的代码. 但使用ARC并不代表了不会发生内存泄露,使用不当照样会发生内存泄露. 下 ...

  4. .Net内存泄露原因及解决办法

    .Net内存泄露原因及解决办法 1.    什么是.Net内存泄露 (1).NET 应用程序中的内存 您大概已经知道,.NET 应用程序中要使用多种类型的内存,包括:堆栈.非托管堆和托管堆.这里我们需 ...

  5. Java 内存泄露

    一.Java内存回收机制 不论哪种语言的内存分配方式,都需要返回所分配内存的真实地址,也就是返回一个指针到内存块的首地址.Java中对象是采用new或者反射的方法创建的,这些对象的创建都是在堆(Hea ...

  6. android 退出方案 导致内存泄露

    比较奇怪android没有给出一个统一的退出接口,网上查了很多材料也出现了一些错误,在此记录一下,遇到的,与总结的. 1.常见概念,方法 finish() 通知结束当前activity实例,finis ...

  7. java造成内存泄露原因

    一.Java内存回收机制  不论哪种语言的内存分配方式,都需要返回所分配内存的真实地址,也就是返回一个指针到内存块的首地址.Java中对象是采用new或者反射的方法创建的,这些对象的创建都是在堆(He ...

  8. 转:.Net内存泄露原因及解决办法

    1.    什么是.Net内存泄露 (1).NET 应用程序中的内存 您大概已经知道,.NET 应用程序中要使用多种类型的内存,包括:堆栈.非托管堆和托管堆.这里我们需要简单回顾一下. 以运行库为目标 ...

  9. JAVA 是否会发生内存泄露(转)

    原文链接: JAVA 是否会发生内存泄露 几次面试,面试官都问到了这个问题,于是搜集了答案.总结出虽然java自身有垃圾回收机制,但是很多情况下还是发生内存泄露的. java导致内存泄露的原因很明确: ...

随机推荐

  1. 【转】Spring_IOC学习

    原文地址:http://github.thinkingbar.com/spring/ 一.XML文件语法的知识点 对于XML没有提示的话,在Eclipse中搜索XML catalog设置.对于XML文 ...

  2. 使用 “恢复模式” 或 “DFU 模式” 来更新和恢复 iOS 固件

    请访问原文链接:https://sysin.org/article/apple-ios-dfu/,查看最新版.原创作品,转载请保留出处. 作者:gc(at)sysin.org,主页:www.sysin ...

  3. VMware ESXi 7.0 U2 SLIC & Unlocker Intel NUC 专用镜像

    构建 Nano Datacenter 的两大平台 在测试环境或者家庭实验室(Home lab)中使用 VMware vSphere 作为虚拟化平台非常普遍,笔者更倾向使用 Nano Datacente ...

  4. FreeBSD 13.0 正式版发布,已经可以下载

    请访问原文链接:https://sysin.org/article/freebsd-13/,查看最新版.原创作品,转载请保留出处. 根据 FreeBSD 13.0 官方发布计划,4 月 9 日 13. ...

  5. Prometheus监控软件部署方法

    背景:负责基于区块链的某公正项目的状态上报模块设计编码,基于Prometheus进行二次开发 1.说明Prometheus 是一个开源的服务监控软件,它通过 HTTP 协议从远程机器收集数据并存储在本 ...

  6. [leetcode] 874. 行走机器人模拟(周赛)

    874. 行走机器人模拟 模拟 描述方向时有个技巧:int[][] dx = {{0, 1}, {1, 0}, {0, -1}, {-1, 0}}; 分别存储机器人向上.右.下.左走时,坐标应该如何变 ...

  7. selenium模拟不同浏览器的方式

    from selenium import webdriver # 使用Firefox手机浏览器 user_agent = "Mozilla/5.0 (iPad; CPU OS 12_1 li ...

  8. TVM代码生成codegen

    TVM代码生成codegen 硬件后端提供程序(例如Intel,NVIDIA,ARM等),提供诸如cuBLAS或cuDNN之类的内核库以及许多常用的深度学习内核,或者提供框架例,如带有图形引擎的DNN ...

  9. Single Shot Multibox Detection (SSD)实战(下)

    Single Shot Multibox Detection (SSD)实战(下) 2. Training 将逐步解释如何训练SSD模型进行目标检测. 2.1. Data Reading and In ...

  10. 在模仿中精进数据分析与可视化01——颗粒物浓度时空变化趋势(Mann–Kendall Test)

      本文是在模仿中精进数据分析与可视化系列的第一期--颗粒物浓度时空变化趋势(Mann–Kendall Test),主要目的是参考其他作品模仿学习进而提高数据分析与可视化的能力,如果有问题和建议,欢迎 ...