术语“敏感数据暴露”是指允许未授权方访问存储或传输的敏感信息,例如信用卡号或密码。全球范围内大多数重大安全漏洞都会导致某种敏感的数据泄露。

Acunetix利用攻击漏洞(例如Web漏洞)只是攻击者采取的第一步。进一步的步骤通常涉及以下三个目标之一:窃取敏感信息,植入恶意软件(例如,攻击其他目标或启用永久控制/间谍)或升级到其他系统(重复此选择)。显然,窃取诸如信用卡数据之类的敏感信息是攻击者最有利可图的目标,而大多数网络攻击都是由金钱驱动的,因此敏感数据暴露是最常见的攻击目标。

就像可以创建几乎没有漏洞的软件一样,也可以创建阻止攻击者访问敏感信息的软件。敏感的数据泄露是由于计算机系统和软件的不良设计或实施以及此类系统和软件的错误配置引起的。

定义敏感数据 Acunetix在构建Web应用程序时,必须明确定义您认为敏感的数据。虽然有些示例很明显,例如信用卡号,身份验证凭据或健康记录,但其他示例似乎并不那么简单。即使应用程序要在屏幕上显示一条信息,在传输和存储过程中仍可能认为该信息敏感。

Acunetix可以视为个人数据或私人数据的任何类型的数据均应视为敏感数据。这意味着甚至包括名字和姓氏,出生日期,甚至电子邮件地址之类的数据。犯罪分子会追捕此类数据,因为他们可以将从其他来源窃取的个人信息进行关联,以创建用于身份盗用的配置文件。

与财务相关的任何数据也应视为敏感数据,这不仅意味着信用卡号。例如,内部和国际银行帐号(IBAN)的银行帐号以及任何交易金额也应视为敏感号码。

根据您业务所从事的行业,某些数据不仅会被视为敏感数据,而且会被合规性法规所涵盖。确保所有数据的安全性,无论是在传输中还是在存储中,否则您将失去合规性。

传输过程中的敏感数据暴露漏洞 如今,Acunetix大多数网站和Web应用程序都可以通过安全的SSL / TLS连接进行访问。许多人甚至使用HTTP严格传输安全性(HSTS)来加强此类连接。因此,许多Web应用程序设计人员认为使用明文在客户端和服务器之间传输敏感信息是安全的。

这种心态是敏感数据在传输过程中暴露的主要原因。不幸的是,尽管SSL / TLS提供了高度的保护,但在某些情况下仍可能对网络流量进行中间人攻击(MITM)。如果攻击者以某种方式设法访问了Web应用程序和用户之间传输的数据,并且该数据包括(例如)信用卡号或明文密码,则攻击最终会导致敏感数据暴露。

因此,保护Web应用程序免受敏感数据泄露的最佳方法是永远不要使用明文传输任何敏感数据,而始终使用加密算法来保护它们。请注意,这些不应该是弱加密算法,因为攻击者可能会存储拦截的数据,并在以后尝试使用功能强大的GPU破坏加密。

存储中敏感的数据泄露漏洞 Acunetix安全地存储敏感数据与安全地传输数据同样重要,甚至更多。如果攻击者利用了一个漏洞并获得了访问您的网站或Web应用程序的权限(例如,使用SQL注入),则他们可能能够访问整个数据库的内容。如果任何敏感信息未经加密就存储在数据库中,则肯定会泄漏。

当存储敏感信息时,使用知名的,安全的和强大的加密算法比传输情况更为重要。一个弱算法将让上偷来的加密数据,攻击者快速运行蛮力攻击和解码的原始信息。

除了强大的数据库加密外,某些类型的敏感数据还需要额外的保护。例如,如果密码本身是弱密码,则即使使用最强算法加密或散列的密码也很容易被破坏。因此,避免常见的密码漏洞与加密或散列同样重要。

电子邮件中的敏感数据暴露漏洞 Acunetix令人震惊的是,有多少企业和机构忘记了电子邮件不是安全的渠道,绝不应该使用这种媒介来传输敏感数据。客户端和服务器之间的电子邮件连接可以被加密,但是服务器之间的连接通常使用纯文本进行。电子邮件正文也未加密。电子邮件的接收者无法控制他们的电子邮件内容的存储安全性,或者在客户端删除电子邮件时是否实际销毁了该电子邮件内容。

如果您的Web应用程序发送了电子邮件,则永远不要在电子邮件中发送任何敏感数据,而应使用Web应用程序本身来呈现或接受敏感信息。例如,永远不要通过电子邮件发送新密码,而应在网页上为用户显示该密码。机构也绝不应通过电子邮件以明文形式发送任何个人和敏感数据,不幸的是,这是许多国家/地区中许多政府机构进行处理的方式。

保护敏感数据 OWASP (开放Web应用程序安全性项目)认为敏感数据足够重要,可以将其作为单独的类别显示在OWASP Top 10中。在2017年版中,该类别被认为是第三大最常见的缺陷。我们还相信,在即将到来的2021年OWASP Top 10中,这一类别只会变得越来越重要。因此,您应该格外小心,以保护您的敏感信息并避免暴露敏感数据。

只要您在传输和存储过程中使用加密算法以及任何其他措施(例如适当的密钥管理)(使密钥与数据本身一样安全),保护敏感数据就非常容易。在某些情况下,您甚至不需要传输或存储加密数据,就可以使用哈希算法。密码散列是确保密码在传输和存储过程中都不会被盗的最有效方法。

Acunetix敏感的数据泄露–泄露如何发生的更多相关文章

  1. Java垃圾回收机制以及内存泄露

    1.Java的内存泄露介绍 首先明白一下内存泄露的概念:内存泄露是指程序执行过程动态分配了内存,可是在程序结束的时候这块内存没有被释放,从而导致这块内存不可用,这就是内存 泄露,重新启动计算机能够解决 ...

  2. [转帖]御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件

    御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件 https://zhuanlan.kanxue.com/article-8292.htm sqlserver的弱密码破解和提权攻击 ...

  3. ARC下内存泄露问题

    ARC下内存泄露问题 ARC下内存泄露问题,有需要的朋友可以参考下. iOS提供了ARC功能,很大程度上简化了内存管理的代码. 但使用ARC并不代表了不会发生内存泄露,使用不当照样会发生内存泄露. 下 ...

  4. .Net内存泄露原因及解决办法

    .Net内存泄露原因及解决办法 1.    什么是.Net内存泄露 (1).NET 应用程序中的内存 您大概已经知道,.NET 应用程序中要使用多种类型的内存,包括:堆栈.非托管堆和托管堆.这里我们需 ...

  5. Java 内存泄露

    一.Java内存回收机制 不论哪种语言的内存分配方式,都需要返回所分配内存的真实地址,也就是返回一个指针到内存块的首地址.Java中对象是采用new或者反射的方法创建的,这些对象的创建都是在堆(Hea ...

  6. android 退出方案 导致内存泄露

    比较奇怪android没有给出一个统一的退出接口,网上查了很多材料也出现了一些错误,在此记录一下,遇到的,与总结的. 1.常见概念,方法 finish() 通知结束当前activity实例,finis ...

  7. java造成内存泄露原因

    一.Java内存回收机制  不论哪种语言的内存分配方式,都需要返回所分配内存的真实地址,也就是返回一个指针到内存块的首地址.Java中对象是采用new或者反射的方法创建的,这些对象的创建都是在堆(He ...

  8. 转:.Net内存泄露原因及解决办法

    1.    什么是.Net内存泄露 (1).NET 应用程序中的内存 您大概已经知道,.NET 应用程序中要使用多种类型的内存,包括:堆栈.非托管堆和托管堆.这里我们需要简单回顾一下. 以运行库为目标 ...

  9. JAVA 是否会发生内存泄露(转)

    原文链接: JAVA 是否会发生内存泄露 几次面试,面试官都问到了这个问题,于是搜集了答案.总结出虽然java自身有垃圾回收机制,但是很多情况下还是发生内存泄露的. java导致内存泄露的原因很明确: ...

随机推荐

  1. MyBatisPlus详细总结记录

    本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com 小 Hub 领读: 一篇写得非常详细的文章,增删改查,各种插件,让你测底熟悉 mybatis plus. 作者:yo ...

  2. JS实现前台表格排序功能

    JS实现前台表格排序功能 虽然数据量不大的情况下,前台排序速度比较快,但一般情况下,我们的项目只使用后台排序,原因有二: 一是代码简单:二是前台JS排序对于有分页的情况无法处理. 前段时间,有个功能需 ...

  3. 『居善地』接口测试 — 7、Requests库使用proxies代理发送请求

    目录 1.代理的了解 2.代理的分类 (1)正向代理 (2)反向代理 (3)总结 3.Requests库使用代理 4.总结 1.代理的了解 在上图中我们可以把Web server看成是Google服务 ...

  4. python操作kafka

    python操作kafka 一.什么是kafka kafka特性: (1) 通过磁盘数据结构提供消息的持久化,这种结构对于即使数以TB的消息存储也能够保持长时间的稳定性能. (2) 高吞吐量 :即使是 ...

  5. Python+Selenium学习笔记5 - python官网的tutorial - 交互模式下的操作

    这篇笔记主要是从Python官网的Tutorial上截取下来,再加上个人理解 1. 在交互模式下,下划线'_'还可以表示上一步的计算结果 2.引号转义问题. 从下图总结的规律是,字符串里的引号如果和引 ...

  6. CVD-ALD前驱体材料

    CVD-ALD前驱体材料 ALD前驱体源瓶特点是什么   ALD前驱体源瓶(起泡器)用于固态.液态及气态超纯物料类的封装,涉及微正压.常压.中低压的危险化学品,对源瓶的安全性和洁净度提出严苛的要求. ...

  7. CVPR2020最新论文扫描盘点(下)

    CVPR2020最新论文扫描盘点(下) 最近计算机视觉三大顶会之一CVPR2020接收结果已经公布,一共有1470篇论文被接收,接收率为22%,相比去年降低3个百分点,竞争越来越激烈.这里整理来自Tw ...

  8. 蓝牙mesh网络技术的亮点

    蓝牙mesh网络技术的亮点 The highlights of Bluetooth mesh networking technology 导言 蓝牙是当今最主要的低功耗无线技术之一,对无线设备用户和开 ...

  9. 错误档案1:Eclipse自动生成swing窗体代码报错

    目录 前言 错误信息 解决方法 结论 前言 大家好呀,我是 白墨,一个热爱学习与划水的矛盾体. 昨天为了图方便,使用MyEclipse中的swing功能画界面,画完以后发现无法运行,查看源代码发现全报 ...

  10. 解决servlet响应乱码问题

    当我们使用servlet响应中文时,浏览器接收的内容就会乱码显示出来,原因是响应数据时使用的是utt-8编码,而浏览器解析响应用的的编码却不是utf-8,这样就会造成乱码. 解决办法: respons ...