OWASP Top10 2010简介专辑-10 Top9-不安全的加密存储

我们常说数据的安全性是极为重要的，而在程序人员的编程过程中，由于有些需求或是设计的问题，往往会造成特别是机密数据的安全性得不到保证，常见的不安全的数据存储包括：

l        未能识别全部的机密数据；

l        对某个机密数据未能识别其所有的存放地；（数据库、文件、目录、日志文件……）

l        未对数据的每个存放地进行合理的保护

那么显然，这样造成的后果是极为严重的：

l        攻击者能够取得或是篡改机密的或是私有的信息；

l        攻击者通过这些秘密的窃取从而进行进一步的攻击；

l        造成企业形象破损，用户满意度下降，甚至会有法律诉讼等；

一般来说，我们采用以下的方法来避免这个漏洞的存在：

l        验证你的结构

n        识别所有的敏感数据；

n        识别这些数据存放的所有位置；

n        确保所应用的威胁模型能够应付这些攻击；

n        使用加密手段来应对威胁

l        使用一定的机制来进行保护

n        文件加密；数据库加密；数据元素加密

l        正确的使用这些机制

n        使用标准的强算法；

n        合理的生成，分发和保护密钥；

n        准备密钥的变更

l        验证实现方法

n        确保使用了标准的强算法；

n        确保所有的证书、密钥和密码都得到了安全的存放；

n        有一个安全的密钥分发和应急处理的方案；