OWASP top 10 （2017） 学习笔记--敏感信息泄露

A3:2017-敏感信息泄露

漏洞描述：

许多Web应用程序和API都无法正确保护敏感数据，例如：财务数据、医疗数据和PII数据。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏，因此，我们需要对敏感数据加密，这些数据包括：传输过程中的数据、存储的数据以及浏览器的交互数据。

漏洞影响：

这个领域的错误频繁影响那些本应该加密的数据。通常情况下，这些数据通常包括很多个人敏感信息（PII），例如：医疗记录、认证凭证、个人隐私、信用卡信息等。这些信息受到相关法律和条例保护，例如：欧盟《通用数据保护条例》（GDPR）和地方隐私保护法律。

检测场景：

 用户信息：

　　　　如用户账号，姓名，身份证ID，电话号码，银行账户，驾驶证号码，社保卡号，护照号码等

web服务器信息：

　　　　OS类型、版本信息；数据库类型、版本信息；web配置信息（PHPinfo）

预防思路：

1、对系统处理、存储或传输的数据分类，并根据分类进行访问控制。

2、对用户敏感信息的传输与存储做加密（TLS、SHA）。

3、定制统一出错页面，杜绝显示Web中间件的名称和版本信息等敏感信息到Web客户端。