Acunetix敏感的数据泄露–泄露如何发生

术语“敏感数据暴露”是指允许未授权方访问存储或传输的敏感信息,例如信用卡号或密码。全球范围内大多数重大安全漏洞都会导致某种敏感的数据泄露。

Acunetix利用攻击漏洞(例如Web漏洞)只是攻击者采取的第一步。进一步的步骤通常涉及以下三个目标之一:窃取敏感信息,植入恶意软件(例如,攻击其他目标或启用永久控制/间谍)或升级到其他系统(重复此选择)。显然,窃取诸如信用卡数据之类的敏感信息是攻击者最有利可图的目标,而大多数网络攻击都是由金钱驱动的,因此敏感数据暴露是最常见的攻击目标。

就像可以创建几乎没有漏洞的软件一样,也可以创建阻止攻击者访问敏感信息的软件。敏感的数据泄露是由于计算机系统和软件的不良设计或实施以及此类系统和软件的错误配置引起的。

定义敏感数据 Acunetix在构建Web应用程序时,必须明确定义您认为敏感的数据。虽然有些示例很明显,例如信用卡号,身份验证凭据或健康记录,但其他示例似乎并不那么简单。即使应用程序要在屏幕上显示一条信息,在传输和存储过程中仍可能认为该信息敏感。

Acunetix可以视为个人数据或私人数据的任何类型的数据均应视为敏感数据。这意味着甚至包括名字和姓氏,出生日期,甚至电子邮件地址之类的数据。犯罪分子会追捕此类数据,因为他们可以将从其他来源窃取的个人信息进行关联,以创建用于身份盗用的配置文件。

与财务相关的任何数据也应视为敏感数据,这不仅意味着信用卡号。例如,内部和国际银行帐号(IBAN)的银行帐号以及任何交易金额也应视为敏感号码。

根据您业务所从事的行业,某些数据不仅会被视为敏感数据,而且会被合规性法规所涵盖。确保所有数据的安全性,无论是在传输中还是在存储中,否则您将失去合规性。

传输过程中的敏感数据暴露漏洞 如今,Acunetix大多数网站和Web应用程序都可以通过安全的SSL / TLS连接进行访问。许多人甚至使用HTTP严格传输安全性(HSTS)来加强此类连接。因此,许多Web应用程序设计人员认为使用明文在客户端和服务器之间传输敏感信息是安全的。

这种心态是敏感数据在传输过程中暴露的主要原因。不幸的是,尽管SSL / TLS提供了高度的保护,但在某些情况下仍可能对网络流量进行中间人攻击(MITM)。如果攻击者以某种方式设法访问了Web应用程序和用户之间传输的数据,并且该数据包括(例如)信用卡号或明文密码,则攻击最终会导致敏感数据暴露。

因此,保护Web应用程序免受敏感数据泄露的最佳方法是永远不要使用明文传输任何敏感数据,而始终使用加密算法来保护它们。请注意,这些不应该是弱加密算法,因为攻击者可能会存储拦截的数据,并在以后尝试使用功能强大的GPU破坏加密。

存储中敏感的数据泄露漏洞 Acunetix安全地存储敏感数据与安全地传输数据同样重要,甚至更多。如果攻击者利用了一个漏洞并获得了访问您的网站或Web应用程序的权限(例如,使用SQL注入),则他们可能能够访问整个数据库的内容。如果任何敏感信息未经加密就存储在数据库中,则肯定会泄漏。

当存储敏感信息时,使用知名的,安全的和强大的加密算法比传输情况更为重要。一个弱算法将让上偷来的加密数据,攻击者快速运行蛮力攻击和解码的原始信息。

除了强大的数据库加密外,某些类型的敏感数据还需要额外的保护。例如,如果密码本身是弱密码,则即使使用最强算法加密或散列的密码也很容易被破坏。因此,避免常见的密码漏洞与加密或散列同样重要。

电子邮件中的敏感数据暴露漏洞 Acunetix令人震惊的是,有多少企业和机构忘记了电子邮件不是安全的渠道,绝不应该使用这种媒介来传输敏感数据。客户端和服务器之间的电子邮件连接可以被加密,但是服务器之间的连接通常使用纯文本进行。电子邮件正文也未加密。电子邮件的接收者无法控制他们的电子邮件内容的存储安全性,或者在客户端删除电子邮件时是否实际销毁了该电子邮件内容。

如果您的Web应用程序发送了电子邮件,则永远不要在电子邮件中发送任何敏感数据,而应使用Web应用程序本身来呈现或接受敏感信息。例如,永远不要通过电子邮件发送新密码,而应在网页上为用户显示该密码。机构也绝不应通过电子邮件以明文形式发送任何个人和敏感数据,不幸的是,这是许多国家/地区中许多政府机构进行处理的方式。

保护敏感数据 OWASP (开放Web应用程序安全性项目)认为敏感数据足够重要,可以将其作为单独的类别显示在OWASP Top 10中。在2017年版中,该类别被认为是第三大最常见的缺陷。我们还相信,在即将到来的2021年OWASP Top 10中,这一类别只会变得越来越重要。因此,您应该格外小心,以保护您的敏感信息并避免暴露敏感数据。

只要您在传输和存储过程中使用加密算法以及任何其他措施(例如适当的密钥管理)(使密钥与数据本身一样安全),保护敏感数据就非常容易。在某些情况下,您甚至不需要传输或存储加密数据,就可以使用哈希算法。密码散列是确保密码在传输和存储过程中都不会被盗的最有效方法。

posted @ 2021-05-21 15:28  51component技术交流  阅读(245)  评论(0编辑  收藏  举报