Kiểm tra bảo mật - Phơi nhiễm dữ liệu nhạy cảm
Khi các ứng dụng trực tuyến liên tục tràn ngập internet từng ngày, không phải tất cả các ứng dụng đều được bảo mật. Nhiều ứng dụng web không bảo vệ đúng cách dữ liệu nhạy cảm của người dùng như thông tin thẻ tín dụng / thông tin tài khoản ngân hàng / thông tin xác thực. Cuối cùng, tin tặc có thể đánh cắp những dữ liệu được bảo vệ yếu kém đó để thực hiện hành vi gian lận thẻ tín dụng, đánh cắp danh tính hoặc các tội phạm khác.
Hãy cho chúng tôi hiểu Tác nhân đe dọa, Vectơ tấn công, Điểm yếu về bảo mật, Tác động kỹ thuật và Tác động kinh doanh của lỗ hổng này với sự trợ giúp của sơ đồ đơn giản.
Thí dụ
Một số ví dụ điển hình về cấu hình sai bảo mật như đã cho:
Một trang web không sử dụng SSL cho tất cả các trang đã được xác thực. Điều này cho phép kẻ tấn công giám sát lưu lượng mạng và đánh cắp cookie phiên của người dùng để chiếm đoạt phiên của người dùng hoặc truy cập vào dữ liệu cá nhân của họ.
Một ứng dụng lưu trữ số thẻ tín dụng ở định dạng được mã hóa trong cơ sở dữ liệu. Sau khi truy xuất, chúng được giải mã cho phép hacker thực hiện một cuộc tấn công SQL injection để lấy tất cả thông tin nhạy cảm dưới dạng văn bản rõ ràng. Điều này có thể tránh được bằng cách mã hóa số thẻ tín dụng bằng khóa công khai và cho phép các ứng dụng back-end giải mã chúng bằng khóa cá nhân.
Hands ON
Step 1 − Launch WebGoat and navigate to "Insecure Storage" Section. Snapshot of the same is displayed below.
Step 2 − Enter the username and password. It is time to learn different kind of encoding and encryption methodologies that we discussed previously.
Preventive Mechanisms
It is advised not to store sensitive data unnecessarily and should be scraped as soon as possible if it is no more required.
It is important to ensure that we incorporate strong and standard encryption algorithms are used and proper key management is in place.
It can also be avoided by disabling autocomplete on forms that collect sensitive data such as password and disable caching for pages that contain sensitive data.