Unetway

Тестирование безопасности - Открытые данные

Поскольку онлайн-приложения продолжают изо дня в день затоплять интернет, не все приложения защищены. Многие веб-приложения не обеспечивают надлежащую защиту конфиденциальных пользовательских данных, таких как информация о кредитных картах / учетные данные банковской учетной записи / учетные данные. Хакеры могут в конечном итоге украсть эти слабо защищенные данные для совершения мошенничества с кредитными картами, кражи личных данных или других преступлений.

Некоторые из классических примеров неправильной конфигурации безопасности приведены:

  • Сайт просто не использует SSL для всех аутентифицированных страниц. Это позволяет злоумышленнику контролировать сетевой трафик и красть куки-файлы сеанса пользователя, чтобы захватить сеанс пользователей или получить доступ к их личным данным.
  • Приложение хранит номера кредитных карт в зашифрованном формате в базе данных. После извлечения они дешифруются, позволяя хакеру выполнить атаку SQL-инъекции, чтобы получить всю конфиденциальную информацию в ясном тексте. Этого можно избежать, зашифровав номера кредитных карт с помощью открытого ключа и разрешив серверным приложениям расшифровать их с помощью закрытого ключа.

Профилактические механизмы

  • Рекомендуется не хранить конфиденциальные данные без необходимости и их следует очищать как можно скорее, если это не требуется.
  • Важно обеспечить, чтобы мы включали сильные и стандартные алгоритмы шифрования, и правильное управление ключами на месте.
  • Этого также можно избежать, отключив автозаполнение форм, которые собирают конфиденциальные данные, такие как пароль, и отключает кеширование страниц, содержащих конфиденциальные данные.