web渗透--3--web安全原则(下)
六、敏感数据保护原则
1、口令不允许明文存储在系统中,应该加密保护。在不需要还原口令的场景,必须使用不可逆算法加密。对银行账号等敏感数据的访问要有认证、授权和加密机制。口令文件必须设置访问权限控制,普通用户不能读取或拷贝加密的内容。如果帐户文件/数据中含有口令又必须所有用户可访问,则需将帐户文件/数据与口令文件/数据分开。
2、在非信任网络之间进行敏感数据(包括口令,银行帐号,批量个人数据等)的传输须采用安全传输通道或者加密后传输,有标准协议规定除外。
3、禁止使用私有加密算法,必须使用公开、安全的标准加密算法。
4、用于敏感数据传输加密的密钥,不能硬编码在代码中。在敏感数据的安全传输上,优先使用业界的标准安全协议(如SSH v2/TLS1.0/SSL3.0/IPSec/SFTP/HTTPS等),并确保密钥可配置;如果是由产品自身实现安全传输过程,则优先使用Diffie-Hellman密钥交换算法,如果使用预置共享密钥等其他方法,也必须保证该密钥可配置和可替换。
5、禁止在日志、话单等文件中记录口令、银行账号、通信内容等敏感数据;避免不安全的本地存储。
6、涉及个人数据的采集/处理的功能须提供安全保护机制(如认证、权限控制、日志记录等),并通过产品资料向客户公开。
7、尽量避免在日志、话单中记录个人数据,如果必须记录个人数据,则所有数据必须进行结构化存储或适合于进行匿名化提取。
8、加密不能确保安全:加密是单纯的概念,单纯的加密不能保证系统的任何安全。加密需要与算法、密钥生成算法、密码传送等一系列机制结合才能保证安全。安全是相对的,没有绝对安全。
9、禁止在代码中存储敏感数据。(禁止在代码中存储如数据库连接字符串、口令和密钥之类的敏感数据,这样
web渗透--3--web安全原则(下)相关推荐
- 【Web渗透】Web渗透各类型问题总结
简单的总结web渗透中常见的问题,主要分享测试经验和防御措施 一.暴力破解 0x01漏洞介绍 使用字典不断尝试登录系统,猜解认证凭据,达到通过系统认证的目的. 0x02测试方法/工具 1.观察web应 ...
- Web渗透测试---Web TOP 10 漏洞
文章目录 前言 一.注入漏洞 二.跨站脚本(xss)漏洞 三.文件上传漏洞 四.文件包含漏洞 五.命令执行漏洞 六.代码执行漏洞 七.XML外部实体(XXE)漏洞 八.反序列化漏洞 九. SSRF漏洞 ...
- 【web渗透】专栏文章汇总
一.基础部分 web渗透–1–写在开始 web渗透–2–web安全原则(上) web渗透–3–web安全原则(下) web渗透–4–web渗透测试清单 web渗透–5–自动化漏洞扫描 web渗透–6– ...
- 小白入坑 Web 渗透测试必备指南
小白如何快速入门 由于本人技术性受限制,可能部分内容显得不那么清晰,如有疑问请读者圈联系我.再者,内容不会完全讲清楚,因为本身话题的原因,部分会一笔带过. 小白该如何踏入 Web 安全这个坑呢?我的经 ...
- Web渗透工程师零基础就业班【从入门到就业】
课程特点 (1)零基础导入体系:0基础学习Web渗透,从0到1,理论结合实战,轻松上手,循序渐进: (2)技术难点疑点重点突破:无需担心Web安全知识点太多,帮你梳理每个知识点的疑点难点,带你快速突破 ...
- Web渗透-SQL注入
渗透测试基础 一.渗透攻击流程 二.渗透测试主流工具 域名注册信息查询: Whois在线查询目标网络信息DNS和IP,nslookup 在线漏洞搜索引擎: fofa.info,shodan.io,zo ...
- 安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗...
1 基础知识 1.1 网络 熟悉常见网络协议: https://www.ietf.org/standards/rfcs/ 1.2 操作系统 1.3 编程 2 恶意软件分析 2.1 分类 2.1.1 木 ...
- 2017-2018-2 20155303『网络对抗技术』Final:Web渗透获取WebShell权限
2017-2018-2 『网络对抗技术』Final:Web渗透获取WebShell权限 --------CONTENTS-------- 一.Webshell原理 1.什么是WebShell 2.We ...
- Web渗透测试常规套路
注:文章首发自合天智汇微信公众平台 0x01:本篇文章旨在给小白白们做一次有关web渗透的科普,其中涉及到的套路.工具可能在如今XX狗.XX盾当道的社会已不再适用,但是其中涉及的思想永远不会过时,其中 ...
- Kali Linux Web 渗透测试秘籍 第一章 配置 Kali Linux
第一章 配置 Kali Linux 作者:Gilberto Najera-Gutierrez 译者:飞龙 协议:CC BY-NC-SA 4.0 简介 在第一章中,我们会涉及如何准备我们的 Kali 以 ...
最新文章
- 感冒了,头晕晕沉沉的,什么时候能好啊!
- 使用训练数据结构代替注意力机制之训练一个小说
- flowable对比
- MySQL-主从架构的搭建
- Linux学习-01-安装虚拟机与linux系统
- springmvc常用注解之@Controller和@RequestMapping
- LVS负载均衡(3)——LVS工作模式与工作原理
- 配置DNS服务器的需要修改的配置文件为,dns服务器配置教程
- Linux 之 NTP 服务 服务器
- c语言选题分析,c语言方面毕业设计选题.doc
- NEYC 2017 游记
- ffmpeg 音乐循环_背景音乐自动循环播放
- Android 集成微信h5支付
- Android 项目之电话拨号器
- 计算机科学与技术到底学什么?
- puml绘制思维导图_盘点那些美美哒的在线思维导图制作神器
- 【嵌入式】7段数码管电路原理
- 使用Python获取股市北向资金和南向资金信息
- MICCAI-iseg2017挑战赛小结与婴儿脑组织分割总结
- 【解决方案】英文论文投稿提交中显示“ unauthorized content”——投稿系统Editorial Manager