web渗透--3--web安全原则(下)
六、敏感数据保护原则
1、口令不允许明文存储在系统中,应该加密保护。在不需要还原口令的场景,必须使用不可逆算法加密。对银行账号等敏感数据的访问要有认证、授权和加密机制。口令文件必须设置访问权限控制,普通用户不能读取或拷贝加密的内容。如果帐户文件/数据中含有口令又必须所有用户可访问,则需将帐户文件/数据与口令文件/数据分开。
2、在非信任网络之间进行敏感数据(包括口令,银行帐号,批量个人数据等)的传输须采用安全传输通道或者加密后传输,有标准协议规定除外。
3、禁止使用私有加密算法,必须使用公开、安全的标准加密算法。
4、用于敏感数据传输加密的密钥,不能硬编码在代码中。在敏感数据的安全传输上,优先使用业界的标准安全协议(如SSH v2/TLS1.0/SSL3.0/IPSec/SFTP/HTTPS等),并确保密钥可配置;如果是由产品自身实现安全传输过程,则优先使用Diffie-Hellman密钥交换算法,如果使用预置共享密钥等其他方法,也必须保证该密钥可配置和可替换。
5、禁止在日志、话单等文件中记录口令、银行账号、通信内容等敏感数据;避免不安全的本地存储。
6、涉及个人数据的采集/处理的功能须提供安全保护机制(如认证、权限控制、日志记录等),并通过产品资料向客户公开。
7、尽量避免在日志、话单中记录个人数据,如果必须记录个人数据,则所有数据必须进行结构化存储或适合于进行匿名化提取。
8、加密不能确保安全:加密是单纯的概念,单纯的加密不能保证系统的任何安全。加密需要与算法、密钥生成算法、密码传送等一系列机制结合才能保证安全。安全是相对的,没有绝对安全。
9、禁止在代码中存储敏感数据。(禁止在代码中存储如数据库连接字符串、口令和密钥之类的敏感数据,这样
web渗透--3--web安全原则(下)相关推荐
- 【Web渗透】Web渗透各类型问题总结
简单的总结web渗透中常见的问题,主要分享测试经验和防御措施 一.暴力破解 0x01漏洞介绍 使用字典不断尝试登录系统,猜解认证凭据,达到通过系统认证的目的. 0x02测试方法/工具 1.观察web应 ...
- Web渗透测试---Web TOP 10 漏洞
文章目录 前言 一.注入漏洞 二.跨站脚本(xss)漏洞 三.文件上传漏洞 四.文件包含漏洞 五.命令执行漏洞 六.代码执行漏洞 七.XML外部实体(XXE)漏洞 八.反序列化漏洞 九. SSRF漏洞 ...
- 【web渗透】专栏文章汇总
一.基础部分 web渗透–1–写在开始 web渗透–2–web安全原则(上) web渗透–3–web安全原则(下) web渗透–4–web渗透测试清单 web渗透–5–自动化漏洞扫描 web渗透–6– ...
- 小白入坑 Web 渗透测试必备指南
小白如何快速入门 由于本人技术性受限制,可能部分内容显得不那么清晰,如有疑问请读者圈联系我.再者,内容不会完全讲清楚,因为本身话题的原因,部分会一笔带过. 小白该如何踏入 Web 安全这个坑呢?我的经 ...
- Web渗透工程师零基础就业班【从入门到就业】
课程特点 (1)零基础导入体系:0基础学习Web渗透,从0到1,理论结合实战,轻松上手,循序渐进: (2)技术难点疑点重点突破:无需担心Web安全知识点太多,帮你梳理每个知识点的疑点难点,带你快速突破 ...
- Web渗透-SQL注入
渗透测试基础 一.渗透攻击流程 二.渗透测试主流工具 域名注册信息查询: Whois在线查询目标网络信息DNS和IP,nslookup 在线漏洞搜索引擎: fofa.info,shodan.io,zo ...
- 安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗...
1 基础知识 1.1 网络 熟悉常见网络协议: https://www.ietf.org/standards/rfcs/ 1.2 操作系统 1.3 编程 2 恶意软件分析 2.1 分类 2.1.1 木 ...
- 2017-2018-2 20155303『网络对抗技术』Final:Web渗透获取WebShell权限
2017-2018-2 『网络对抗技术』Final:Web渗透获取WebShell权限 --------CONTENTS-------- 一.Webshell原理 1.什么是WebShell 2.We ...
- Web渗透测试常规套路
注:文章首发自合天智汇微信公众平台 0x01:本篇文章旨在给小白白们做一次有关web渗透的科普,其中涉及到的套路.工具可能在如今XX狗.XX盾当道的社会已不再适用,但是其中涉及的思想永远不会过时,其中 ...
- Kali Linux Web 渗透测试秘籍 第一章 配置 Kali Linux
第一章 配置 Kali Linux 作者:Gilberto Najera-Gutierrez 译者:飞龙 协议:CC BY-NC-SA 4.0 简介 在第一章中,我们会涉及如何准备我们的 Kali 以 ...
最新文章
- 新的Mac下如何配置开发者账号信息
- 什麽是世界上最值得珍惜的
- 个推用户画像的实践与应用
- cmake卸载 ubuntu_ubuntu卸载/更新Cmake
- Android一个自定义的进度环:ProgressChart
- 什么是大数据,怎么理解和应对大数据时代
- 【Linux】安装x11vnc和xrdp,使用windows远程deepin
- WinRAR 试用版曝漏洞:免费软件并不“免费“
- PIC单片机开发环境搭建
- 422通讯测试软件,通讯软硬件实现通讯测试
- 分享两套企业级进销存管理系统源码
- 怎么把图片的边缘弄圆_如何PS制做出边缘清晰或虚化的圆角照片
- 【b站雅思笔记】Simon‘s IELTS Course - 阅读部分
- realme真我gt能升级鸿蒙系统吗,realme真我GT Neo闪速版曝光,换用双电芯电池
- excel计算式自动计算_计算macd 分解步骤一步一步详细计算macd 用excel计算macd
- opengl自学记录_键盘控制图形平移
- 算法图解(一):算法简介
- 安装centOS 7双系统(四)——解决Broadcom博通BCM 43xx无线网卡驱动问题
- 串联单元集成自清洗过滤器
- vue组件之间的传参总结
热门文章
- android书籍推荐!分析Android未来几年的发展前景,灵魂拷问
- 安装WPS Linux版本
- Unity 之 解决包体过大问题记录和纹理相关知识点整理
- 原生_H5交互插件(适用于与V2.1)
- 各厂商接入交换机通过ACL限制端口应用的配置信息
- calender加3天_JAVA日期或者时间加减法,加上几天或者减去
- Connection to tcp://39.96.3.215:1935 failed: Error number -138 occurred
- python分析数据的相关性质_理解数据的性质_Python数据分析实战应用_数据挖掘与分析视频-51CTO学院...
- P3964 松鼠聚会(切比雪夫距离模板)
- php 直播流,ngnix开发(五)将rtmp直播流转换成hls直播流