Security Testing - Sensitive Data Exposure

由于在线应用程序每天都在淹没互联网,因此并非所有应用都得到保障。 许多网络应用没有适当保护敏感用户数据,如信用卡信息/银行账户信息/认证证书。 哈萨克人可能最终偷窃这些受保护薄弱的数据,以进行信用卡欺诈、身份盗窃或其他犯罪。

让我们在简单图表的帮助下理解这一缺陷的威胁代理人、攻击者、安全弱点、技术影响和商业影响。

Example

安全结构混乱的一些典型例子如下:

某个网站根本不使用SSL所有经认证的网页。 这使得攻击者能够监测网络交通,偷窃用户会议 co,劫持用户会议或获取其私人数据。

申请在数据库中以加密格式储存信用卡号码。 检索后,他们被加密,允许黑客进行“King”式攻击,以在明确案文中检索所有敏感信息。 可以通过使用公用钥匙对信用卡号码进行加密,并允许后继申请与私人钥匙进行加密,避免这种情况。

Hands ON

。 情况如下所示。

Step 2——进入用户名和密码。 我们现在应当学习我们先前讨论的不同类型的编码和加密方法。

Preventive Mechanisms

建议它不要不必要地储存敏感数据,如果不再需要,应尽快予以撤销。

必须确保我们采用强有力的标准加密算法,并实行适当的关键管理。

也可以避免,就收集敏感数据的形式,例如密码和含有敏感数据页的可拆分,进行拆解。