OWASP 2023 TOP10 A2敏感数据暴露

Posted by DDW on 08-04,2022

一、什么是敏感数据暴露

很多web和APP无法正确保存敏感数据,例如医疗数据、财务数据、商业数据、学生数据等等。攻击者容易通过某种渠道窃取、修改相应数据。因此,我们要对敏感数据加密,这些数据包括:传输过程中的数据、储存的数据以正确窃取或修改未加密的数据进行实施信用卡诈骗、身份盗窃、和其他犯罪行为。

二、存在的原因

数字系统越来越多,用户个人信息收集后存储分散,业务使用中管理不规范。
随着企事业单位的规模的扩大,员工数量逐步增加,信息安全意识参差不齐,可能存在违规使用、随意下载用户个人信息的行为。

三、例子

1.github中有开源的代码,但往往有些程序员因遗忘或者其他的原因把个人账号密码放进了源码。
2.DVWA靶场中也有相关的案例,搭建好PHP开发运行环境后,官方会有一个验证程序是否成功,返回一个PHP.INFO,如果未做处理,将导致敏感信息泄露。image-1691203782125

四、如何防范

1.加强员工意识,禁止上传代码到github等网站。
2.谨慎使用第三方云服务,不要把工作相关放到云端。
3.禁止使用工作邮箱注册非工作相关网站。

敏感数据暴露的原因有很多,主要还是因为个人防范意识不足。