术语“敏感数据暴露”是指允许未授权方访问存储或传输的敏感信息,例如信用卡号或密码。全球范围内大多数重大安全漏洞都会导致某种敏感的数据泄露。

Acunetix利用攻击漏洞(例如Web漏洞)只是攻击者采取的第一步。进一步的步骤通常涉及以下三个目标之一:窃取敏感信息,植入恶意软件(例如,攻击其他目标或启用永久控制/间谍)或升级到其他系统(重复此选择)。显然,窃取诸如信用卡数据之类的敏感信息是攻击者最有利可图的目标,而大多数网络攻击都是由金钱驱动的,因此敏感数据暴露是最常见的攻击目标。

就像可以创建几乎没有漏洞的软件一样,也可以创建阻止攻击者访问敏感信息的软件。敏感的数据泄露是由于计算机系统和软件的不良设计或实施以及此类系统和软件的错误配置引起的。

定义敏感数据 Acunetix在构建Web应用程序时,必须明确定义您认为敏感的数据。虽然有些示例很明显,例如信用卡号,身份验证凭据或健康记录,但其他示例似乎并不那么简单。即使应用程序要在屏幕上显示一条信息,在传输和存储过程中仍可能认为该信息敏感。

Acunetix可以视为个人数据或私人数据的任何类型的数据均应视为敏感数据。这意味着甚至包括名字和姓氏,出生日期,甚至电子邮件地址之类的数据。犯罪分子会追捕此类数据,因为他们可以将从其他来源窃取的个人信息进行关联,以创建用于身份盗用的配置文件。

与财务相关的任何数据也应视为敏感数据,这不仅意味着信用卡号。例如,内部和国际银行帐号(IBAN)的银行帐号以及任何交易金额也应视为敏感号码。

根据您业务所从事的行业,某些数据不仅会被视为敏感数据,而且会被合规性法规所涵盖。确保所有数据的安全性,无论是在传输中还是在存储中,否则您将失去合规性。

传输过程中的敏感数据暴露漏洞 如今,Acunetix大多数网站和Web应用程序都可以通过安全的SSL / TLS连接进行访问。许多人甚至使用HTTP严格传输安全性(HSTS)来加强此类连接。因此,许多Web应用程序设计人员认为使用明文在客户端和服务器之间传输敏感信息是安全的。

这种心态是敏感数据在传输过程中暴露的主要原因。不幸的是,尽管SSL / TLS提供了高度的保护,但在某些情况下仍可能对网络流量进行中间人攻击(MITM)。如果攻击者以某种方式设法访问了Web应用程序和用户之间传输的数据,并且该数据包括(例如)信用卡号或明文密码,则攻击最终会导致敏感数据暴露。

因此,保护Web应用程序免受敏感数据泄露的最佳方法是永远不要使用明文传输任何敏感数据,而始终使用加密算法来保护它们。请注意,这些不应该是弱加密算法,因为攻击者可能会存储拦截的数据,并在以后尝试使用功能强大的GPU破坏加密。

存储中敏感的数据泄露漏洞 Acunetix安全地存储敏感数据与安全地传输数据同样重要,甚至更多。如果攻击者利用了一个漏洞并获得了访问您的网站或Web应用程序的权限(例如,使用SQL注入),则他们可能能够访问整个数据库的内容。如果任何敏感信息未经加密就存储在数据库中,则肯定会泄漏。

当存储敏感信息时,使用知名的,安全的和强大的加密算法比传输情况更为重要。一个弱算法将让上偷来的加密数据,攻击者快速运行蛮力攻击和解码的原始信息。

除了强大的数据库加密外,某些类型的敏感数据还需要额外的保护。例如,如果密码本身是弱密码,则即使使用最强算法加密或散列的密码也很容易被破坏。因此,避免常见的密码漏洞与加密或散列同样重要。

电子邮件中的敏感数据暴露漏洞 Acunetix令人震惊的是,有多少企业和机构忘记了电子邮件不是安全的渠道,绝不应该使用这种媒介来传输敏感数据。客户端和服务器之间的电子邮件连接可以被加密,但是服务器之间的连接通常使用纯文本进行。电子邮件正文也未加密。电子邮件的接收者无法控制他们的电子邮件内容的存储安全性,或者在客户端删除电子邮件时是否实际销毁了该电子邮件内容。

如果您的Web应用程序发送了电子邮件,则永远不要在电子邮件中发送任何敏感数据,而应使用Web应用程序本身来呈现或接受敏感信息。例如,永远不要通过电子邮件发送新密码,而应在网页上为用户显示该密码。机构也绝不应通过电子邮件以明文形式发送任何个人和敏感数据,不幸的是,这是许多国家/地区中许多政府机构进行处理的方式。

保护敏感数据 OWASP (开放Web应用程序安全性项目)认为敏感数据足够重要,可以将其作为单独的类别显示在OWASP Top 10中。在2017年版中,该类别被认为是第三大最常见的缺陷。我们还相信,在即将到来的2021年OWASP Top 10中,这一类别只会变得越来越重要。因此,您应该格外小心,以保护您的敏感信息并避免暴露敏感数据。

只要您在传输和存储过程中使用加密算法以及任何其他措施(例如适当的密钥管理)(使密钥与数据本身一样安全),保护敏感数据就非常容易。在某些情况下,您甚至不需要传输或存储加密数据,就可以使用哈希算法。密码散列是确保密码在传输和存储过程中都不会被盗的最有效方法。

Acunetix敏感的数据泄露–泄露如何发生的更多相关文章

  1. Java垃圾回收机制以及内存泄露

    1.Java的内存泄露介绍 首先明白一下内存泄露的概念:内存泄露是指程序执行过程动态分配了内存,可是在程序结束的时候这块内存没有被释放,从而导致这块内存不可用,这就是内存 泄露,重新启动计算机能够解决 ...

  2. [转帖]御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件

    御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件 https://zhuanlan.kanxue.com/article-8292.htm sqlserver的弱密码破解和提权攻击 ...

  3. ARC下内存泄露问题

    ARC下内存泄露问题 ARC下内存泄露问题,有需要的朋友可以参考下. iOS提供了ARC功能,很大程度上简化了内存管理的代码. 但使用ARC并不代表了不会发生内存泄露,使用不当照样会发生内存泄露. 下 ...

  4. .Net内存泄露原因及解决办法

    .Net内存泄露原因及解决办法 1.    什么是.Net内存泄露 (1).NET 应用程序中的内存 您大概已经知道,.NET 应用程序中要使用多种类型的内存,包括:堆栈.非托管堆和托管堆.这里我们需 ...

  5. Java 内存泄露

    一.Java内存回收机制 不论哪种语言的内存分配方式,都需要返回所分配内存的真实地址,也就是返回一个指针到内存块的首地址.Java中对象是采用new或者反射的方法创建的,这些对象的创建都是在堆(Hea ...

  6. android 退出方案 导致内存泄露

    比较奇怪android没有给出一个统一的退出接口,网上查了很多材料也出现了一些错误,在此记录一下,遇到的,与总结的. 1.常见概念,方法 finish() 通知结束当前activity实例,finis ...

  7. java造成内存泄露原因

    一.Java内存回收机制  不论哪种语言的内存分配方式,都需要返回所分配内存的真实地址,也就是返回一个指针到内存块的首地址.Java中对象是采用new或者反射的方法创建的,这些对象的创建都是在堆(He ...

  8. 转:.Net内存泄露原因及解决办法

    1.    什么是.Net内存泄露 (1).NET 应用程序中的内存 您大概已经知道,.NET 应用程序中要使用多种类型的内存,包括:堆栈.非托管堆和托管堆.这里我们需要简单回顾一下. 以运行库为目标 ...

  9. JAVA 是否会发生内存泄露(转)

    原文链接: JAVA 是否会发生内存泄露 几次面试,面试官都问到了这个问题,于是搜集了答案.总结出虽然java自身有垃圾回收机制,但是很多情况下还是发生内存泄露的. java导致内存泄露的原因很明确: ...

随机推荐

  1. IDEA 配置 Tomcat(详细)(Day_12)

    如果这世界上真有奇迹,那只是努力的另一个名字.生命中最难的阶段,不是没有人懂你,而是你不懂你自己. 运行环境 AND 版本 JDK8 + IntelliJ IDEA 2018.3  +   Tomca ...

  2. .NET平台系列13 .NET5 统一平台

    系列目录     [已更新最新开发文章,点击查看详细] 时机决定一切,对于 .NET5 也是如此.实际上微软.NET团队在开始开发 .NET Core 时,对 .NET Framework 的全面重写 ...

  3. Django(41)详解异步任务框架Celery

    celery介绍   Celery是由Python开发.简单.灵活.可靠的分布式任务队列,是一个处理异步任务的框架,其本质是生产者消费者模型,生产者发送任务到消息队列,消费者负责处理任务.Celery ...

  4. nginx的请求处理

      nginx的请求处理¶ nginx使用一个多进程模型来对外提供服务,其中一个master进程,多个worker进程.master进程负责管理nginx本身和其他worker进程. 所有实际上的业务 ...

  5. Tengine Web服务器概述

    Tengine Web服务器概述 Tengine是由淘宝网发起的Web服务器项目.在Nginx的基础上,针对大访问量网站的需求,添加了很多高级功能和特性.目的是打造一个高效.安全的Web平台. 发展 ...

  6. Yolov3 的 OneFlow 实现

    Yolov3 的 OneFlow 实现 1.简介 YOLO 系列的算法(经典的v1~v3),是单阶段目标检测网络的开山鼻祖,YOLO-You only look once,表明其单阶段的特征,正是由于 ...

  7. TensorFlow实现多层感知机MINIST分类

    TensorFlow实现多层感知机MINIST分类 TensorFlow 支持自动求导,可以使用 TensorFlow 优化器来计算和使用梯度.使用梯度自动更新用变量定义的张量.本文将使用 Tenso ...

  8. SystemML大规模机器学习,优化算子融合方案的研究

    SystemML大规模机器学习,优化算子融合方案的研究 摘要 许多大规模机器学习(ML)系统允许通过线性代数程序指定定制的ML算法,然后自动生成有效的执行计划.在这种情况下,优化的机会融合基本算子的熔 ...

  9. 痞子衡嵌入式:嵌入式里串口(UART)自动波特率识别程序设计与实现

    大家好,我是痞子衡,是正经搞技术的痞子.今天痞子衡给大家分享的是嵌入式里串口(UART)自动波特率识别程序设计与实现. 串口(UART)是嵌入式里最基础最常用也最简单的一种通讯(数据传输)方式,可以说 ...

  10. CSS基础知识及其基本语法

    一.什么是CSS CSS 是层叠样式表( Cascading Style Sheets ) 的简称. 有时我们也会称之为CSS 样式表或级联样式表. CSS 也是一种标记语言 CSS 主要用于设置HT ...