六、敏感数据保护原则

1、口令不允许明文存储在系统中,应该加密保护。在不需要还原口令的场景,必须使用不可逆算法加密。对银行账号等敏感数据的访问要有认证、授权和加密机制。口令文件必须设置访问权限控制,普通用户不能读取或拷贝加密的内容。如果帐户文件/数据中含有口令又必须所有用户可访问,则需将帐户文件/数据与口令文件/数据分开。

2、在非信任网络之间进行敏感数据(包括口令,银行帐号,批量个人数据等)的传输须采用安全传输通道或者加密后传输,有标准协议规定除外。

3、禁止使用私有加密算法,必须使用公开、安全的标准加密算法。

4、用于敏感数据传输加密的密钥,不能硬编码在代码中。在敏感数据的安全传输上,优先使用业界的标准安全协议(如SSH v2/TLS1.0/SSL3.0/IPSec/SFTP/HTTPS等),并确保密钥可配置;如果是由产品自身实现安全传输过程,则优先使用Diffie-Hellman密钥交换算法,如果使用预置共享密钥等其他方法,也必须保证该密钥可配置和可替换。

5、禁止在日志、话单等文件中记录口令、银行账号、通信内容等敏感数据;避免不安全的本地存储。

6、涉及个人数据的采集/处理的功能须提供安全保护机制(如认证、权限控制、日志记录等),并通过产品资料向客户公开。

7、尽量避免在日志、话单中记录个人数据,如果必须记录个人数据,则所有数据必须进行结构化存储或适合于进行匿名化提取。

8、加密不能确保安全:加密是单纯的概念,单纯的加密不能保证系统的任何安全。加密需要与算法、密钥生成算法、密码传送等一系列机制结合才能保证安全。安全是相对的,没有绝对安全。

9、禁止在代码中存储敏感数据。(禁止在代码中存储如数据库连接字符串、口令和密钥之类的敏感数据,这样

web渗透--3--web安全原则(下)相关推荐

  1. 【Web渗透】Web渗透各类型问题总结

    简单的总结web渗透中常见的问题,主要分享测试经验和防御措施 一.暴力破解 0x01漏洞介绍 使用字典不断尝试登录系统,猜解认证凭据,达到通过系统认证的目的. 0x02测试方法/工具 1.观察web应 ...

  2. Web渗透测试---Web TOP 10 漏洞

    文章目录 前言 一.注入漏洞 二.跨站脚本(xss)漏洞 三.文件上传漏洞 四.文件包含漏洞 五.命令执行漏洞 六.代码执行漏洞 七.XML外部实体(XXE)漏洞 八.反序列化漏洞 九. SSRF漏洞 ...

  3. 【web渗透】专栏文章汇总

    一.基础部分 web渗透–1–写在开始 web渗透–2–web安全原则(上) web渗透–3–web安全原则(下) web渗透–4–web渗透测试清单 web渗透–5–自动化漏洞扫描 web渗透–6– ...

  4. 小白入坑 Web 渗透测试必备指南

    小白如何快速入门 由于本人技术性受限制,可能部分内容显得不那么清晰,如有疑问请读者圈联系我.再者,内容不会完全讲清楚,因为本身话题的原因,部分会一笔带过. 小白该如何踏入 Web 安全这个坑呢?我的经 ...

  5. Web渗透工程师零基础就业班【从入门到就业】

    课程特点 (1)零基础导入体系:0基础学习Web渗透,从0到1,理论结合实战,轻松上手,循序渐进: (2)技术难点疑点重点突破:无需担心Web安全知识点太多,帮你梳理每个知识点的疑点难点,带你快速突破 ...

  6. Web渗透-SQL注入

    渗透测试基础 一.渗透攻击流程 二.渗透测试主流工具 域名注册信息查询: Whois在线查询目标网络信息DNS和IP,nslookup 在线漏洞搜索引擎: fofa.info,shodan.io,zo ...

  7. 安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗...

    1 基础知识 1.1 网络 熟悉常见网络协议: https://www.ietf.org/standards/rfcs/ 1.2 操作系统 1.3 编程 2 恶意软件分析 2.1 分类 2.1.1 木 ...

  8. 2017-2018-2 20155303『网络对抗技术』Final:Web渗透获取WebShell权限

    2017-2018-2 『网络对抗技术』Final:Web渗透获取WebShell权限 --------CONTENTS-------- 一.Webshell原理 1.什么是WebShell 2.We ...

  9. Web渗透测试常规套路

    注:文章首发自合天智汇微信公众平台 0x01:本篇文章旨在给小白白们做一次有关web渗透的科普,其中涉及到的套路.工具可能在如今XX狗.XX盾当道的社会已不再适用,但是其中涉及的思想永远不会过时,其中 ...

  10. Kali Linux Web 渗透测试秘籍 第一章 配置 Kali Linux

    第一章 配置 Kali Linux 作者:Gilberto Najera-Gutierrez 译者:飞龙 协议:CC BY-NC-SA 4.0 简介 在第一章中,我们会涉及如何准备我们的 Kali 以 ...

最新文章

  1. 感冒了,头晕晕沉沉的,什么时候能好啊!
  2. 使用训练数据结构代替注意力机制之训练一个小说
  3. flowable对比
  4. MySQL-主从架构的搭建
  5. Linux学习-01-安装虚拟机与linux系统
  6. springmvc常用注解之@Controller和@RequestMapping
  7. LVS负载均衡(3)——LVS工作模式与工作原理
  8. 配置DNS服务器的需要修改的配置文件为,dns服务器配置教程
  9. Linux 之 NTP 服务 服务器
  10. c语言选题分析,c语言方面毕业设计选题.doc
  11. NEYC 2017 游记
  12. ffmpeg 音乐循环_背景音乐自动循环播放
  13. Android 集成微信h5支付
  14. Android 项目之电话拨号器
  15. 计算机科学与技术到底学什么?
  16. puml绘制思维导图_盘点那些美美哒的在线思维导图制作神器
  17. 【嵌入式】7段数码管电路原理
  18. 使用Python获取股市北向资金和南向资金信息
  19. MICCAI-iseg2017挑战赛小结与婴儿脑组织分割总结
  20. 【解决方案】英文论文投稿提交中显示“ unauthorized content”——投稿系统Editorial Manager

热门文章

  1. 谷歌面试题:男孩多还是女孩多?
  2. 算法学习第一周union find solution
  3. 基于java的果蔬在线销售系统/农产品销售系统
  4. CUDA (一):CUDA C 编程及 GPU 基本知识
  5. 七、RISC-V SoC内核——总线 代码讲解
  6. (一)关于思维导图MindMaster
  7. 【智能系统学报】投稿记录
  8. SAP 的MPN功能
  9. flutter实现一个下拉菜单【基于PopupMenuButton】
  10. 如何合理地制定项目管理计划?