OWASP TOP 10 2021 的A02 Cryptographic Failures
是程式在資料加密相關部分有所不足,導致攻擊者可以輕易取得資料
常見的例子有
連線方式使用有弱點的SSL協議、用了weak ssl cipher、
Server端留存的客戶個資未加密、使用的加密演算法強度不足等等
時至今日,大多數網站都已強制客戶使用HTTPS連線,在正常使用的情況下,有了SSL的保護不需要太擔心客戶資料在傳輸過程中被有心人士擷取。
不過作為網頁開發人員還是要注意,使用的SSL協議是否已提升至TLSv1.2以上、ssl cipher是否有限制禁用weak ssl cipher。
可以用SSL Labs的線上工具檢測看看
https://www.ssllabs.com/ssltest/?ref=words.filippo.io
此外,儲存客戶的密碼、個資等機敏資訊到資料庫前,也必須做好加密工作,以提高資料意外外洩時被人利用的難度