iT邦幫忙

2024 iThome 鐵人賽

DAY 27
0
Security

WEB仔也要懂資安嗎系列 第 27

27/Security Logging and Monitoring Failures-Insertion of Sensitive Information into Log File

  • 分享至 

  • xImage
  •  

Insertion of Sensitive Information into Log File是指將機敏資料寫進Log當中的弱點。
由於一般來說系統的log並沒有像資料庫一樣容易做好權限控管,很容易讓內部人員取得,並且遭外部人士攻擊也容易外流。若是把客戶或者系統的機敏資訊(身分證、電話、地址、信用卡號或系統的key等等)寫進log之中的話,容易讓有心人士透過log竊取,因此應避免將機敏資訊寫進log之中。

曾經聽過一個真實的例子是客戶抱怨輸入了正確的密碼,但是系統仍顯示登入失敗,
系統的開發人員為了方便確認究竟是客戶輸錯密碼還是真的系統的登入功能有問題,而將客戶輸入的密碼也寫進log裡面。這麼做雖然方便,但是也增加了客戶的密碼被人盜用的風險。


上一篇
26/Security Logging and Monitoring Failures-Omission of Security-relevant Information
下一篇
28/Security Logging and Monitoring Failures-Insufficient Logging
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言