由于在线应用程序日复一日地涌入互联网,并非所有应用程序都受到保护.许多Web应用程序无法正确保护敏感用户数据,如信用卡信息/银行帐户信息/身份验证凭据.黑客可能最终窃取这些受到弱保护的数据,以进行信用卡欺诈,身份盗窃或其他犯罪.
让我们了解威胁代理,攻击媒介,安全弱点,技术影响和业务影响借助简单的图表来解决这个缺陷.
一些安全性错误配置的典型例子是给定
网站根本不对所有经过身份验证的网页使用SSL.这使攻击者能够监控网络流量并窃取用户的会话cookie以劫持用户会话或访问其私人数据.
应用程序存储信用卡号在数据库中以加密格式.检索后,它们被解密,允许黑客执行SQL注入攻击,以明文形式检索所有敏感信息.这可以通过使用公钥加密信用卡号码并允许后端应用程序使用私钥解密它们来避免.
第1步启动WebGoat并导航到"不安全存储"部分.它的快照如下所示.
第2步输入用户名和密码.是时候学习我们之前讨论过的不同类型的编码和加密方法.
建议不要不必要地存储敏感数据,如果不再需要,应尽快删除.
这是确保我们使用强大的标准加密算法以及正确的密钥管理是非常重要的.
通过在表单上禁用自动完成功能也可以避免这种情况.收集敏感数据,如密码,并禁用包含敏感数据的页面的缓存.
