Web安全防护技术之不安全的密码存储
2018-03-27 18:55:11 | 来源:中培企业IT培训网
7.不安全的密码存储
不安全的密码存储( Insecure CrYl)tographic Storage),指Web应用程序没有使用加密算法、或使用较弱的加密演算法对敏感性资料加密存储,或简单地将密钥储存于容易被获取之处。
许多Web应用程序存在大量敏感数据,包括信用卡、社保卡号码、身份认证证书等, Web应用这些敏感信息存储到数据库或者文件系统中,并使用适当的加密措施或Hash算法来保护。通常的漏洞是应该加密的数据不进行加密;在使用加密的情况下,常见的问题是不安全的密钥生成和储存、不轮换密钥、使用弱算法、使用弱的或者不带盐的哈希算法等。攻击者可能利用这种弱点来实施身份盗窃、信用卡诈骗或其他犯罪行为。
- 上一篇:Web安全防护技术之不安全的配置管理
- 下一篇:Web安全防护技术之错误的访问控制