iT邦幫忙

2024 iThome 鐵人賽

DAY 16
0
Security

WEB仔也要懂資安嗎系列 第 16

16/Insecure Design: Unprotected Storage of Credentials

  • 分享至 

  • xImage
  •  

Unprotected Storage of Credentials簡而言之就是沒有加密保護密碼或金鑰
跟前面提到的Cryptographic Failures不一樣的地方在於,一個是有加密但是做得不夠好,一個則是連加密都沒加密。

最常見的例子就是,大家都知道db密碼不能寫死在程式裡避免原始碼外洩之後連密碼也一起洩露,所以大多都會放在config.properties之類的檔案之中,再讓程式去讀取這個設定檔。
但是,密碼卻是明文寫在config.properties裡,只要有人取得了config.properties,資料庫的密碼也就外洩了。
最好的做法是以加密後的值寫到config.properties,程式取config.properties的值之後再解密。


上一篇
15/Insecure Design: Generation of Error Message Containing Sensitive Information
下一篇
17/Insecure Design: Trust Boundary Violation
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言