iT邦幫忙

2024 iThome 鐵人賽

DAY 13
1
Security

WEB仔也要懂資安嗎系列 第 13

13/Cryptographic Failures

  • 分享至 

  • xImage
  •  

OWASP TOP 10 2021 的A02 Cryptographic Failures
是程式在資料加密相關部分有所不足,導致攻擊者可以輕易取得資料

常見的例子有
連線方式使用有弱點的SSL協議、用了weak ssl cipher、
Server端留存的客戶個資未加密、使用的加密演算法強度不足等等

時至今日,大多數網站都已強制客戶使用HTTPS連線,在正常使用的情況下,有了SSL的保護不需要太擔心客戶資料在傳輸過程中被有心人士擷取。
不過作為網頁開發人員還是要注意,使用的SSL協議是否已提升至TLSv1.2以上、ssl cipher是否有限制禁用weak ssl cipher。
可以用SSL Labs的線上工具檢測看看
https://www.ssllabs.com/ssltest/?ref=words.filippo.io

此外,儲存客戶的密碼、個資等機敏資訊到資料庫前,也必須做好加密工作,以提高資料意外外洩時被人利用的難度


上一篇
12/Broken Access Control
下一篇
14/Insecure Design: Business Logic Errors
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言