敏感信息泄露
- 我们常说数据的安全性是极为重要的, 而在程序人员的编程过程中, 由于有些需求或是设计的问题, 往往会造成特别是机密数据的安全性得不到保证, 常见的不安全的数据存储中的数据进行破解。
- 敏感信息泄露设计两个方面:
1 、存储
2 、传输过程 http、https
敏感信息泄露表现形式
- 在这个领域最常见的漏洞是应该加密的数据不进行加密。
- 在使用加密的情况下, 常见的问题是不安全的密钥生成和冒理和使用弱算法是很普遍的, 特别是使用弱的哈希算法来保护密码。
- 浏览器的漏洞也很普遍, 且可以很轻易的检测到, 但是很难大规模的利用。
- 敏感信息
加密算法如下:
常见敏感信息
运维层面:
- 日志
- 备份文件
- 配置文件
应用层面:
- 用户信息
- 通信录
- 邮箱
敏感信息泄露案例
- 案例1 : 一个网站上所有需要身份验证的网页都没有使用SSL 。攻击者只需监控网络数据流( 比如一个开放的无线网络或其社区的有线网络) , 并窃取一个已验证的受害者的会话cookie 。
然后, 攻击者利用这个cookie 执行重放攻井接管用户的会话从而访问用户的隐私数据。
- 案例2 : 密码数据库使用unsalted 的哈希算法去存储每个人的密码。一个文件上传漏洞使黑客能够获取密码文件。所有这些unsalted哈希的密码通过彩虹表暴力破解方式破解。
敏感数据防护检查
对于敏感数据, 应当确保:
1 · 当这些数据被长期存储的时候, 无论存储在哪里, 它们是否都被加密,特别是对这些数据的备份
2 · 无论内部数据还是外部数据, 在互联网中传输明文数据是非常危险的。
3 · 是否还在使用任何旧的或脆弱的加密算法
4 · 加密密钥的生成是否是脆弱的, 或者缺少恰当的密钥管理或缺少密钥回转?
敏感信息泄露的预防
1 · 顺测一些威胁, 加密这些数据的存储以确保免受这些威胁。
2 · 对于没必要存放的、重要的敏感数据, 应当尽快清除。
3 · 确保使用了合适的强大的标准去和强大的密匙, 井且密匙管理到位
4 · 确保使用密码专用算法存储密码, 如: bcrypt 、PBKDF2 或scrypt
5 · 禁用自动完成防止敏感数据收集, 禁用包含敏感数据的缓存页面。