1 、儲存
2 、傳輸過程 http、https
加密演算法如下:
運維層面:
- 日誌
- 備份檔案
- 配置檔案
應用層面:
- 使用者資訊
- 通訊錄
- 郵箱
然後, 攻擊者利用這個cookie 執行重放攻井接管使用者的會話從而訪問使用者的隱私資料。
對於敏感資料, 應當確保:
1 · 當這些資料被長期儲存的時候, 無論儲存在**, 它們是否都被加密,特別是對這些資料的備份
2 · 無論內部資料還是外部資料, 在網際網路中傳輸明文資料是非常危險的。
3 · 是否還在使用任何舊的或脆弱的加密演算法
4 · 加密金鑰的生成是否是脆弱的, 或者缺少恰當的金鑰管理或缺少金鑰迴轉?
1 · 順測一些威脅, 加密這些資料的儲存以確保免受這些威脅。
2 · 對於沒必要存放的、重要的敏感資料, 應當盡快清除。
3 · 確保使用了合適的強大的標準去和強大的密匙, 井且密匙管理到位
4 · 確保使用密碼專用演算法儲存密碼, 如: bcrypt 、pbkdf2 或scrypt
5 · 禁用自動完成防止敏感資料收集, 禁用包含敏感資料的快取頁面。
Pikachu 敏感資訊洩露
由於後台人員的疏忽或者不當的設計,導致不應該被前端使用者看到的資料被輕易的訪問到。比如 通過訪問url下的目錄,可以直接列出目錄下的檔案列表 輸入錯誤的url引數後報錯資訊裡面包含作業系統 中介軟體 開發語言的版本或其他資訊 前端的原始碼 html,css,js 裡面包含了敏感資訊,比如後台登入位址...
pikachu 敏感資訊洩露
敏感資訊洩露 介紹 敏感資訊洩露概述 由於後台人員的疏忽或者不當的設計,導致不應該被前端使用者看到的資料被輕易的訪問到。比如 通過訪問url下的目錄,可以直接列出目錄下的檔案列表 輸入錯誤的url引數後報錯資訊裡面包含作業系統 中介軟體 開發語言的版本或其他資訊 前端的原始碼 html,css,js...
業務邏輯漏洞探索之敏感資訊洩露
業務邏輯漏洞探索之敏感資訊洩露 近期,萬豪酒店被爆近5億客人的資訊或洩露。近年來,使用者隱私洩露事件時有發生,也不得不給我們敲響警鐘。敏感資訊時業務系統中的保密性要求較高的資料,通常包括系統敏感資訊和引用敏感資訊。系統敏感資訊指的是業務系統本身的基礎環境資訊,比如系統資訊,中介軟體版本之類的,一旦洩...