iT邦幫忙

第 11 屆 iThome 鐵人賽
DAY 13
0
Security

應用程式弱點與它們的產地系列 第 13

[Day13]Privacy Violation

11th鐵人賽
6104 瀏覽

  • 分享至 

  • xImage
    •  

「密碼變數命名叫 Password 錯了嗎…」
「XXXX-XXXX-XXXX-XXXX 代表的不是信用卡是工號啊…」

沒錯,這種模糊地帶的東西就是需要人工複核 Q"Q
因為你想的到的,攻擊者也想的到啊 XDDDD

弱點說明

明碼儲存密碼、帳號、信用卡、身份證、地址、手機號碼…未經使用者授權的資料,
可能會侵犯到個人隱私,任何人取得資料庫即可利用資訊。

修改建議

  1. 不儲存非必要的機敏資訊
  2. 儲存機敏資訊時,存取權限應設定在最小範圍內
  3. 機敏資訊僅可能不存放於外部資源
  4. 機敏資訊應加密處理

// 腸胃炎好想放棄哦,先挑個簡單的弱點說明一下好了 Q"Q


上一篇
[Day12]A10 – Insufficient Logging & Monitoring
下一篇
[Day14]Cross-Site Request Forgery (CSRF)
系列文
應用程式弱點與它們的產地17
  1. 13
    [Day13]Privacy Violation
  2. 14
    [Day14]Cross-Site Request Forgery (CSRF)
  3. 15
    [Day15]Server-Side Request Forgery
  4. 16
    [Day16]Open Redirect
  5. 17
    斷賽了 QAQ
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
ShawnL
iT邦新手 1 級 ‧ 2019-09-29 23:48:33

加油阿阿阿,明天有颱風假可以稍微輕鬆一點了 (? /images/emoticon/emoticon06.gif

虎虎 iT邦研究生 4 級 ‧ 2019-09-30 19:21:06 檢舉

哈哈哈哈哈 XDDD
一起加油 XDDDD

登入發表回應

我要留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22081
完賽人數
594
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙