敏感数据泄漏——数据泄露是如何发生的

安全资讯 小布 745浏览 1评论

术语敏感数据露出意味着让未经授权的各方拜访存储或传输的敏感信息,例如信用卡号或密码。全球大多数严重安全漏洞都会导致某种敏感数据泄露。

利用网络漏洞等攻击仅仅攻击者采纳的第一步。进一步的过程通常涉及三个方案之一:盗取敏感信息、植入恶意软件(例如,攻击其他方案或启用永久操控/服务),或升级到其他系统(此挑选重复)。显然,盗取信用卡数据等敏感信息是攻击者最有利可图的方案,而且大多数网络攻击都是由金钱驱动的,而敏感数据露出是最常见的攻击方案。

就像能够创建几乎没有漏洞的软件一样,也能够创建避免攻击者访问敏感信息的软件。敏感数据露出是由计算机系统和软件的不良设计或施行以及此类系统和软件的过错引起的。

定义敏感数据

当您构建 Web 应用程序时,您必须清楚地界说您认为是敏感数据的内容。尽管有些示例很明显,例如信用卡号、身份验证凭据或健康记载,但其他演示或许看起来并不那么简单。即便应用程序要在屏幕上显现一条信息,它在传输和存储过程中仍或许被视为敏感信息。

可被视为个人数据或私家数据的任何类型的数据都应被视为敏感数据。这甚至意味着诸如名字、出生日期甚至电子邮件地址之类的数据。犯罪分子会追踪此类数据,由于他们能够相关从其他来源窃取的个人信息,以创建身份盗用配置文件。

任何与财政相关的数据也应被视为敏感数据,这不只是意味着信用卡号码。例如,内部和 IBAN 的银行帐号以及任何买卖金额也应被视为敏感信息。

根据您的事务涉及的行业,某些数据或许不仅被视为敏感数据,并且还遭到合法性法规的维护。保证一切数据在传输和存储中都是安全的,否则您将失去合法性。

传输中的敏感数据泄漏漏洞

现在大多数网站和 Web 应用程序都可以通过安全的SSL/连接访问。许多人乃​至使用HTTP严格传输安全(HSTS)强制执行此类连接。因此,许多 Web 应用程序设计人员认为运用明文在客户端和服务器之间传输敏感信息是安全的。

这种心态是传输中敏感数据泄漏的主要原因。不幸的是,尽管 SSL/TLS 提供了高度的保护,但在某些情况下或许会对网络流量进行中间人攻击(MITM)。如果攻击者以某种方式设法访问在 Web 应用程序和用户之间传输的数据,并且这些数据包括信用卡号或明文密码等,则攻击最终会暴露敏感数据。

因此,保护您的 Web 应用程序免受敏感数据泄露的最佳方法是永远不要使用明文传输任何敏感数据,而始终使用加密算法来保护它们。请注意,这些不应是弱加密算法,因为攻击者可能会存储截获的数据,然后尝试使用强大的 GPU 破解加密。

存储中的敏感数据泄漏漏洞

安全地存储敏感数据与安全地传输它相同重要,甚至更多。假如攻击者运用漏洞并拜访您的网站或 Web 应用程序,例如运用SQL注入,他们可能能够访问您整个数据库的内容。假如任何敏感信息未经加密存储在数据库中,则肯定会泄漏。

在存储敏感信息时,运用闻名、安全和强壮的加密算法比在传输的情况下更重要。弱算法会让攻击者快速对盗取的加密数据进行暴力进犯,并解码原始信息。

除了强大的数据库加密之外,某些类型的敏感数据还需要定期的维护。例如,假如密码自身是弱密码,即使运用最强算法加密或散列的密码也很简单被破解。因而,避免常见的密码漏洞与加密或散列相同重要。

电子邮件中的敏感数据泄漏漏洞

令人震惊的是,有多少企业和组织忘记了电子邮件不是一个安全的途径,并且永久不该运用这种媒介传输敏感数据。客户端和服务器之间的电子邮件衔接可能是加密的,但服务器之间的衔接通常运用纯文本完结。电子邮件正文也未加密。并且电子邮件的收件人无法控制其电子邮件内容的存储安全性,或者在客户端删去电子邮件时是否实际销毁了这些内容。

如果您的 Web 应用程序发送电子邮件,则不该在电子邮件中发送任何敏感数据,而应运用 Web 应用程序自身来呈现或接受敏感信息。例如,您永久不该经过电子邮件发送新密码,而是在网页上为用户显现它。组织也不该该经过电子邮件以明文方式发送任何个人和敏感数据,不幸的是,许多国家/区域的许多政府组织都是这样做的。

保护敏感数据

OWASP(敞开 Web 应用程序安全项目)以为敏感数据十分重要,因而将其作为一个独自的类别列入 OWASP 前 10 名。在 2017 年版中,该类别被以为是第三大常见缺陷。我们还信任,在即将到来的2021年OWASP前10名中,这一类其他重要性只会越来越高。因而,您应该十分小心地维护您的敏感信息并避免敏感数据露出。

只需您在传输和存储中运用加密算法以及任何辅助办法,例如适当的密钥管理(以便您的密钥与数据本身相同安全),维护您的敏感数据就十分容易。在某些情况下,您乃至不需要传输或存储加密数据,您可以运用哈希算法。密码散列是确保密码在传输和存储过程中永远不会被盗的最有效方法。

转载请注明:布尔云安的博客 » 敏感数据泄漏——数据泄露是如何发生的

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (1)