iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 5
1
Security

應用程式弱點與它們的產地系列 第 5

[Day05]A3 - Sensitive Data Exposure

站在預防未來公司密碼外洩的,請問身為資料庫工程師的你,該怎麼設計你的密碼保護邏輯?
(A) 加密
(B) Hash
(C) Encoding
(D) TLS 1.2
(E) 將資料庫上雲端

好,這個問題其實跟今天的主題不是很有關係 XDDDD ((只是想挨揍

弱點掃述

OWASP TOP 10 A3-Sensitive Data Exposure
指的就是機敏外洩,舉凡疑似機敏資訊的交易或功能,都算在這個類別裡。
聽起來方向很大吼…?
所以,如果您收到的掃瞄工具報告內容,這個弱點或是缺失數很多,都是正常的 =v=+++
建議再人工複核一下相關交易及傳輸的參數、功能、流程… 是不是有機會外洩的可能…

機敏資訊,通常包括帳號、密碼、身份證字號、信用卡號、內網IP、程式套件版本號…
範圍會依產業別或資安單位的規範去定義這樣。

修改建議

怕外洩,就不要公開啊 ((又想挨揍
好啦,如果是機敏資訊就做個模糊化或是加密之類的(?)
不要堂而皇之的說,我的參數就叫 Password ,沒錯這就是密碼,你這笨蛋猜得出來嗎((挑釁
不過在可讀性及可維護性的角度,學校都是這樣教的沒錯啦… Q"Q

弱點應用

因為範圍太廣,就舉幾個例子:
(1) Google Hacking
先在 Google Search 上打上公司名稱跟 admin 或 password 試試 (?
反正就先把機敏參數跟公司名稱 Google 一波試試(?

(2) 有工具用工具,沒工具爬一波
先把網站爬下來,然後看看有什麼可以利用的登入頁面、後台頁面、備份頁面、功能頁面…
再檢查 robots.txt 有沒有機敏目錄沒有爬到

(3) 找功能頁面相關的備份
像說Login_1.apsx 或是 Admin_1.php…
再來還有Demo、Test、BackUp、Upload、Log、等等的功能頁,看有沒有可以利用的備用資訊…

(4) 針對取得的資訊做更一步的分析
利用剛剛的資訊去做分析或利用。
進一步去查詢作業系統、框架、環境版號、備份頁面、有沒有開目錄瀏覽…
有沒有相關的版號漏洞或CVE…
然後去做利用(?)

相關新聞

我覺得機敏資訊外洩的新聞太多了,不勝枚舉,就不特別分享了 XD

密碼討論

針對密碼的設計:
(A) 加密
傳統作法是加密沒錯,不過加密之後,資料外洩,加密的資訊還要解密完,然後再做第二次加密…
筆數 1,000 筆還好;但 1,000 萬筆就要花很多的時間成本…

(B) Hash
最推薦的作法,如果資料外洩,只要直接再 Hash 一次就好。
但不要用太簡單的演算法,像說 MD5、SHA1… 那個就不要用惹
網路上很多算 Hash 的網站,太普遍的演算法,有機會可以在網路直接查詢到,
如果查不到,可以付費 (咦?

(C) Encoding
編碼,因為大部份都可以解譯,故不推薦。
像說 UTF-8、Base64、HTML Encoding… 都有機會可以被解譯,所以不建議用在密碼設計上。
Adobe 相關的產品曾經有用這個上新聞過 =v=|||| ((之後再補

(D) TLS 1.2
這個是傳輸安全加密,不適用於儲存密碼:(

(E) 將資料庫上雲端
雲端就是有機會外洩der,一次駭進機房一次偷光光 XDDDD

或有其他討論,再麻煩留在下面囉?


上一篇
[Day04]A2-Broken Authentication
下一篇
[Day06]A4-XML External Entity Injection
系列文
應用程式弱點與它們的產地17
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言