보안 테스트-민감한 데이터 노출
온라인 응용 프로그램이 매일 인터넷에 넘쳐나 기 때문에 모든 응용 프로그램이 보안되지는 않습니다. 많은 웹 애플리케이션은 신용 카드 정보 / 은행 계좌 정보 / 인증 자격 증명과 같은 민감한 사용자 데이터를 적절하게 보호하지 않습니다. 해커는 신용 카드 사기, 신원 도용 또는 기타 범죄를 수행하기 위해 취약하게 보호되는 데이터를 훔칠 수 있습니다.
간단한 다이어그램을 통해이 결함의 위협 원, 공격 벡터, 보안 약점, 기술적 영향 및 비즈니스 영향을 이해하겠습니다.
예
잘못된 보안 구성의 전형적인 예는 다음과 같습니다.
사이트는 인증 된 모든 페이지에 SSL을 사용하지 않습니다. 이를 통해 공격자는 네트워크 트래픽을 모니터링하고 사용자 세션 쿠키를 훔쳐 사용자 세션을 가로 채거나 개인 데이터에 액세스 할 수 있습니다.
응용 프로그램은 신용 카드 번호를 암호화 된 형식으로 데이터베이스에 저장합니다. 검색시 암호가 해독되어 해커가 SQL 주입 공격을 수행하여 모든 민감한 정보를 일반 텍스트로 검색 할 수 있습니다. 이는 공개 키를 사용하여 신용 카드 번호를 암호화하고 백엔드 응용 프로그램이 개인 키로이를 해독하도록 허용함으로써 방지 할 수 있습니다.
손에
Step 1− WebGoat를 시작하고 "안전하지 않은 저장소"섹션으로 이동합니다. 동일한 스냅 샷이 아래에 표시됩니다.
Step 2− 사용자 이름과 비밀번호를 입력합니다. 이전에 논의한 다양한 종류의 인코딩 및 암호화 방법을 배울 때입니다.
예방 메커니즘
민감한 데이터를 불필요하게 저장하지 않는 것이 좋으며 더 이상 필요하지 않은 경우 가능한 한 빨리 스크랩해야합니다.
강력하고 표준적인 암호화 알고리즘을 사용하고 적절한 키 관리가 마련되어 있는지 확인하는 것이 중요합니다.
비밀번호와 같은 민감한 데이터를 수집하는 양식에서 자동 완성을 비활성화하고 민감한 데이터가 포함 된 페이지에 대한 캐싱을 비활성화하여이를 방지 할 수도 있습니다.