|
|
A3-敏感数据暴露漏洞(Sensitive Data Exposure)
|
|
|
|
知识路径: > 网络信息安全概述 > 网络信息安全目标与功能 > 网站安全需求分析与安全保护工程 > Web应用漏洞分析与防护 > OWASP Top 10 >
|
|
相关知识点:10个
|
|
|
|
|
许多Web应用程序和API都无法正确保护敏感数据,例如,财务数据、医疗数据和PII数据。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此,我们需要对敏感数据加密。这些数据包括传输过程中的数据、存储的数据及浏览器的交互数据。该漏洞的出现场景举例如下:
|
|
|
|
场景1:一个应用程序使用自动化的数据加密系统加密信用卡信息,并存储在数据库中。但是,当数据被检索时被自动解密,这就使得SQL注入漏洞能够以明文形式获得所有信用卡卡号。
|
|
|
|
场景2:一个网站上对所有网页没有使用或强制使用TLS,或者使用弱加密。攻击者通过监测网络流量(如:不安全的无线网络),将网络连接从HTTPS降级到HTTP,就可以截取请求并窃取用户会话cookie。之后,攻击者可以复制用户cookie并成功劫持经过认证的用户会话、访问或修改用户个人信息。除此之外,攻击者还可以更改所有传输过程中的数据,例如:转款的接收者。
|
|
|
|
|
|
|
|
| |
|
|
|
