小赵根据某网买了一张从北京到广州的机票,不久竟接到一条诈骗信息,信息内容中有他的飞机航班信息、飞机场名字、航班信息等,全部信息所有确实。小赵觉得,自己的手机号及确切的飞机航班信息仅有某网和该国际航空公司了解,因此推论一定是其中一个组织泄漏了自己的本人信息。可事实真像他所想的这样吗?
本人信息泄漏的重要方式包含经营人没经自己允许搜集本人信息,经营人或犯罪分子有意泄漏、销售或是违法向他人给予本人信息,互联网服务系统存在系统漏洞,犯罪分子根据木马程序、诈骗网站等手段窃取、骗领本人信息等。因此小赵推论是某网或是国际航空公司泄漏的信息并不一定精确,也有可能是别的方式所造成的。
下面我们就来学习一下业务逻辑漏洞探索之比较敏感信息泄漏的相关内容,希望对大家有所帮助。
比较敏感信息是业务系统中安全性要求较高的数据信息,一般包含系统比较敏感信息和引入比较敏感信息。系统比较敏感信息是指业务系统自身的基本自然环境信息,例如系统信息,消息中间件版本号什么的,一旦泄漏可能帮助网络攻击提供更多的进攻方式与方法;运用比较敏感信息是指应用中储存的主要业务数据信息,例如新用户注册时提供的一些信息,身份证件、名字、联系电话等,泄漏后可能会对运用的消费者产生伤害,比如说上年12月所发生的希尔顿酒店比较敏感信息泄漏事情。
注:文中中给予的例子均来自互联网已公开测试的例子,仅作参考。
大家可分为以下几种情景进行测试:
比较敏感信息传送
在业务流程中,很多比较敏感信息必须从手机客户端递交到服务器端,要是没有采用科学合理的数据加密对策,在上传到服务器端的过程当中可能被第三方提取,从而产生信息泄漏风险性。
举例说明:
a) 某系统更改密码时,发觉根据JSON开展传送的过程当中,能够看见密文的新老登陆密码。
比较敏感信息表明
一般来说运用比较敏感信息在服务端表明的时候需要开展抗过敏,登陆密码等部分客户信息是不应该在手机客户端显示的,假如编程设计在这一部分没有进行非常好的解决,会产生比较敏感信息泄漏系统漏洞。
举例说明:
a) 某系统登陆页面存有缺点,造成比较敏感信息泄漏。
b) 网页源代码,可看到账户密码。
c) 使用admin/gohigh1234可以使用管理权限登陆,可查看各种各样信息。
手机客户端代码注释
手机客户端代码注释有可能会泄漏系统比较敏感信息,对一些关键编码开展技术性注解也有可能会协助网络攻击讲解编码,为网络攻击提供帮助,一般规定手机客户端编码不可以包括注解,特别是不可以包括关键编码的专业技术注解。
举例说明:
a) 某系统智能门禁系统管理方法系统存有逻辑漏洞造成过万客户比较敏感信息泄漏。
b) 网页源代码发觉有一段注解编码,发觉存有登录名和账户密码及申请途径。
c) 登陆账号发觉有大量的顾客比较敏感信息,包括身份证件、业主卡号这些。
处理错误检测
不安全的处理错误方式很有可能泄漏系统或应用的比较敏感信息,手工测试的过程当中应留意各种不正确信息,假如出现未知错误信息中包含系统或运用比较敏感信息,则开展纪录。
举例说明:
某服务平台sqlserver没有对不正确开展正确解决,将详尽的不正确信息展示出来,显现出数据库系统字段名。
修补提议
之上就是对于比较敏感信息泄漏的一些汇总,愈来愈频发的客户信息泄漏事情也让我们迫不得已思考,怎样在互联网时代,维护他们的比较敏感信息。
以下属于针对比较敏感信息泄漏安全防护的意见:
1、应依据业务特性定义出系统储存的比较敏感信息。
2、比较敏感信息在储存、传送、表明时要开展安全防护解决,可采取的处理方式为加锁或抗过敏。
3、比较敏感信息不可应用GET方法递交到网络服务器。
4、用户密码为最高级的比较敏感信息,在储存、传送、表明时都必须要数据加密。
5、应该选择可靠的加密技术,首先选择不对称加密算法,不得使用BASE64等编码方法开展“数据加密”。
6、对于一些系统默认设置出错网页页面应重新进行设计方案自定出错网页页面,以防曝露系统比较敏感信息。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
