OWASP Top10 2010简介专辑-10 Top9-不安全的加密存储
上一篇 /
下一篇 2010-01-07 08:52:08
/ 个人分类:OWASP
我们常说数据的安全性是极为重要的,而在程序人员的编程过程中,由于有些需求或是设计的问题,往往会造成特别是机密数据的安全性得不到保证,常见的不安全的数据存储包括:
l 未能识别全部的机密数据;
l 对某个机密数据未能识别其所有的存放地;(数据库、文件、目录、日志文件……)
l 未对数据的每个存放地进行合理的保护
那么显然,这样造成的后果是极为严重的:
l 攻击者能够取得或是篡改机密的或是私有的信息;
l 攻击者通过这些秘密的窃取从而进行进一步的攻击;
l 造成企业形象破损,用户满意度下降,甚至会有法律诉讼等;
一般来说,我们采用以下的方法来避免这个漏洞的存在:
l 验证你的结构
n 识别所有的敏感数据;
n 识别这些数据存放的所有位置;
n 确保所应用的威胁模型能够应付这些攻击;
n 使用加密手段来应对威胁
l 使用一定的机制来进行保护
n 文件加密;数据库加密;数据元素加密
l 正确的使用这些机制
n 使用标准的强算法;
n 合理的生成,分发和保护密钥;
n 准备密钥的变更
l 验证实现方法
n 确保使用了标准的强算法;
n 确保所有的证书、密钥和密码都得到了安全的存放;
n 有一个安全的密钥分发和应急处理的方案;
收藏
举报
TAG: