常见Web安全错误#6:敏感数据暴露

发布时间: 2020-11-6 13:18 作者 : kr 本文共604个字,预计阅读时间需要2分钟 共845人阅读

标题:常见Web安全错误#6:敏感数据暴露来源于:文章底部显示

常见Web安全错误#6:敏感数据暴露

此Web安全漏洞与加密和资源保护有关。敏感数据应始终加密,包括在传输过程中和静止时。没有例外。信用卡信息和用户密码永远不能传输或未加密存储,并且密码应始终是哈希值。显然,加密/哈希算法不能太弱-如有疑问,网络安全标准建议使用AES(256位及以上)和RSA(2048位及以上)。

不用说,会话ID和敏感数据不应在URL中传播,敏感cookie应当具有安全标记,但这非常重要,并且不能过分强调。

预防:

传输中: 将HTTPS与正确的证书和PFS(完全转发保密)一起使用。不要通过非HTTPS连接接受任何内容。在cookie上有安全标记。

在存储中: 这比较困难。首先,您需要降低曝光率。如果不需要敏感数据,请将其切碎。您没有的数据不会被窃取。永远不要存储信用卡信息,因为您可能不想处理与PCI兼容的问题。使用诸如Stripe或Braintree之类的付款处理器进行注册。其次,如果您确实需要敏感数据,则将其加密存储并确保所有密码都经过哈希处理。对于散列,建议使用bcrypt。如果您不使用bcrypt,请先学习关于Salting和Rainbow表的知识。

并且冒着明显的危险,不要将加密密钥存储在受保护的数据旁边。这就像将自行车存放在带钥匙的锁中。通过加密保护备份,并保持密钥的私密性。当然,不要丢钥匙!

久站资源网建议你:返回第一安全客 常见的Web安全错误#1:webs ql注入漏洞



本站本着相互幫助,合作共贏嘅精神,幫助大家,如果有侵犯版權或違反法律嘅行為請聯系負責人進行刪除和嚴懲本站用戶
» 常见Web安全错误#6:敏感数据暴露

常见问题FAQ

源码存在后门嘛?
每个源码提供者都是认真核查后发布出来的,如果有后门,官方会严惩作者!
技术都是免费的吗?
大多资源和技术学习都是免费得,部分比较高级的学习资料发布者收费也是可以的!
使用的软件可靠嘛?
软件都是进行挑选出来的,保障每个都能正常的使用。
找人任务修改会有危险吗?
请建议不要私下交易,任何都以平台为主,如果技术方愚弄你,都会受到严惩!

标题:常见Web安全错误#6:敏感数据暴露

发表评论

热图

标题:常见Web安全错误7:缺少功能级别的访问控制

立即加入 了解詳情
sitemap: Baiduxml Baiduhtxt 360xml 360txt Sogouxml Sogoutxt Smxml Smtxt Byxml Byhtxt Googlexml Googletxt
底部
rss
×