小张通过某网购买了一张从北京到广州的飞机票,没多久竟收到一条诈骗短信,短信内容中有他的航班信息、机场名称、航班号等,所有信息所有属实。小张以为,自己的手机号及确切的航班信息只有某网和该航空公司知道,因而推断一定是其中一个机构泄露了自己的个人信息。可事实真如他所想的这样吗?
个人信息泄露的主要途径包罗经营者未经本人赞成网络个人信息,经营者或不法分子有意泄露、出售或者非法向他人提供个人信息,网络服务系统存有破绽,不法分子通过木马病毒、钓鱼网站等手段偷取、骗取个人信息等。以是小张推断是某网或者航空公司泄露的信息并不一定准确,也可能是其他渠道造成的。
今天我们就来学习一下营业逻辑破绽探索之敏感信息泄露的相关内容,希望对人人有所辅助。
敏感信息是营业系统中保密性要求较高的数据,通常包罗系统敏感信息和引用敏感信息。系统敏感信息指的是营业系统自己的基础环境信息,好比系统信息,中间件版本之类的,一旦泄露可能会协助攻击者提供更多的攻击途径和方式;应用敏感信息指的是应用中存储的主要营业数据,好比用户注册时提供的一些信息,身份证、姓名、电话号码等,泄露后可能会对应用的用户带来危害,比方说去年12月发生的万豪旅店敏感信息泄露事宜。
注:本文中提供的例子均来自网络已公然测试的例子,仅供参考。
我们可以分为以下几种场景举行测试:
敏感信息传输
在营业流程中,许多敏感信息需要从客户端提交到服务端,若是没有接纳合理的加密措施,在提交到服务端的过程中可能被第三方截取,从而发生信息泄露风险。
举个例子:
a) 某系统修改密码的时刻,发现通过JSON举行传输的过程中,可以看到明文的新旧密码。
敏感信息显示
通常情况下应用敏感信息在客户端显示时需要举行脱敏,密码等部门用户信息是不应该在客户端显示的,若是程序设计时在这部门没有举行很好的处置,就会发生敏感信息泄露破绽。
举个例子:
a) 某系统登录页面存在缺陷,导致敏感信息泄露。
b) 查看源代码,可看见登录密码。
c) 使用admin/gohigh1234可使用治理员权限登录,可查看种种信息。
客户端代码注释
网络游戏赚人民币排行,2020适合搬砖的游戏推荐
客户端代码注释有可能泄露系统敏感信息,对一些焦点代码举行手艺注释也有可能会辅助攻击者解读代码,为攻击者提供便利,通常要求客户端代码不能包罗注释,尤其是不能包罗焦点代码的手艺注释。
举个例子:
a) 某系统智能门禁治理系统存在逻辑破绽导致上万用户敏感信息泄露。
b) 查看源代码发现有一段注释代码,发现存在用户名和登录密码及请求路径。
c) 登录后发现有大量的客户敏感信息,包罗身份证、业主卡号等等。
错误处置测试
不平安的错误处置方式可能泄露系统或应用的敏感信息,手工测试的过程中应注意各种错误信息,若是发现错误信息中包罗系统或应用敏感信息,则举行纪录。
举个例子:
某平台sqlserver没有对错误举行准确的处置,将详细的错误信息展示出来,露出出数据库列名。
修复建议
以上就是对于敏感信息泄露的一些总结,越来越频发的用户信息泄露事宜也让我们不得不反思,如何在大数据时代,珍爱我们的敏感信息。
以下是对于敏感信息泄露防护的建议:
1、应根据营业特点定义出系统存储的敏感信息。
2、敏感信息在存储、传输、显示时应举行平安处置,可采用的处置方式为加密或脱敏。
3、敏感信息不应使用GET方式提交到服务器。
4、用户密码为最高级其余敏感信息,在存储、传输、显示时都必须加密。
5、需要选择可靠的加密算法,优先选择不对称加密算法,不得使用BASE64等编码方式举行“加密”。
6、对于一些系统默认报错页面应重新举行设计自定义报错页面,以免露出系统敏感信息。
本文来源于自互联网,不代表n5网立场,侵删。发布者:虚拟资源中心,转载请注明出处:https://www.n5w.com/45874.html