六、敏感数据保护原则

1、口令不允许明文存储在系统中,应该加密保护。在不需要还原口令的场景,必须使用不可逆算法加密。对银行账号等敏感数据的访问要有认证、授权和加密机制。口令文件必须设置访问权限控制,普通用户不能读取或拷贝加密的内容。如果帐户文件/数据中含有口令又必须所有用户可访问,则需将帐户文件/数据与口令文件/数据分开。

2、在非信任网络之间进行敏感数据(包括口令,银行帐号,批量个人数据等)的传输须采用安全传输通道或者加密后传输,有标准协议规定除外。

3、禁止使用私有加密算法,必须使用公开、安全的标准加密算法。

4、用于敏感数据传输加密的密钥,不能硬编码在代码中。在敏感数据的安全传输上,优先使用业界的标准安全协议(如SSH v2/TLS1.0/SSL3.0/IPSec/SFTP/HTTPS等),并确保密钥可配置;如果是由产品自身实现安全传输过程,则优先使用Diffie-Hellman密钥交换算法,如果使用预置共享密钥等其他方法,也必须保证该密钥可配置和可替换。

5、禁止在日志、话单等文件中记录口令、银行账号、通信内容等敏感数据;避免不安全的本地存储。

6、涉及个人数据的采集/处理的功能须提供安全保护机制(如认证、权限控制、日志记录等),并通过产品资料向客户公开。

7、尽量避免在日志、话单中记录个人数据,如果必须记录个人数据,则所有数据必须进行结构化存储或适合于进行匿名化提取。

8、加密不能确保安全:加密是单纯的概念,单纯的加密不能保证系统的任何安全。加密需要与算法、密钥生成算法、密码传送等一系列机制结合才能保证安全。安全是相对的,没有绝对安全。

9、禁止在代码中存储敏感数据。(禁止在代码中存储如数据库连接字符串、口令和密钥之类的敏感数据,这样

web渗透--3--web安全原则(下)相关推荐

  1. 【Web渗透】Web渗透各类型问题总结

    简单的总结web渗透中常见的问题,主要分享测试经验和防御措施 一.暴力破解 0x01漏洞介绍 使用字典不断尝试登录系统,猜解认证凭据,达到通过系统认证的目的. 0x02测试方法/工具 1.观察web应 ...

  2. Web渗透测试---Web TOP 10 漏洞

    文章目录 前言 一.注入漏洞 二.跨站脚本(xss)漏洞 三.文件上传漏洞 四.文件包含漏洞 五.命令执行漏洞 六.代码执行漏洞 七.XML外部实体(XXE)漏洞 八.反序列化漏洞 九. SSRF漏洞 ...

  3. 【web渗透】专栏文章汇总

    一.基础部分 web渗透–1–写在开始 web渗透–2–web安全原则(上) web渗透–3–web安全原则(下) web渗透–4–web渗透测试清单 web渗透–5–自动化漏洞扫描 web渗透–6– ...

  4. 小白入坑 Web 渗透测试必备指南

    小白如何快速入门 由于本人技术性受限制,可能部分内容显得不那么清晰,如有疑问请读者圈联系我.再者,内容不会完全讲清楚,因为本身话题的原因,部分会一笔带过. 小白该如何踏入 Web 安全这个坑呢?我的经 ...

  5. Web渗透工程师零基础就业班【从入门到就业】

    课程特点 (1)零基础导入体系:0基础学习Web渗透,从0到1,理论结合实战,轻松上手,循序渐进: (2)技术难点疑点重点突破:无需担心Web安全知识点太多,帮你梳理每个知识点的疑点难点,带你快速突破 ...

  6. Web渗透-SQL注入

    渗透测试基础 一.渗透攻击流程 二.渗透测试主流工具 域名注册信息查询: Whois在线查询目标网络信息DNS和IP,nslookup 在线漏洞搜索引擎: fofa.info,shodan.io,zo ...

  7. 安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗...

    1 基础知识 1.1 网络 熟悉常见网络协议: https://www.ietf.org/standards/rfcs/ 1.2 操作系统 1.3 编程 2 恶意软件分析 2.1 分类 2.1.1 木 ...

  8. 2017-2018-2 20155303『网络对抗技术』Final:Web渗透获取WebShell权限

    2017-2018-2 『网络对抗技术』Final:Web渗透获取WebShell权限 --------CONTENTS-------- 一.Webshell原理 1.什么是WebShell 2.We ...

  9. Web渗透测试常规套路

    注:文章首发自合天智汇微信公众平台 0x01:本篇文章旨在给小白白们做一次有关web渗透的科普,其中涉及到的套路.工具可能在如今XX狗.XX盾当道的社会已不再适用,但是其中涉及的思想永远不会过时,其中 ...

  10. Kali Linux Web 渗透测试秘籍 第一章 配置 Kali Linux

    第一章 配置 Kali Linux 作者:Gilberto Najera-Gutierrez 译者:飞龙 协议:CC BY-NC-SA 4.0 简介 在第一章中,我们会涉及如何准备我们的 Kali 以 ...

最新文章

  1. 新的Mac下如何配置开发者账号信息
  2. 什麽是世界上最值得珍惜的
  3. 个推用户画像的实践与应用
  4. cmake卸载 ubuntu_ubuntu卸载/更新Cmake
  5. Android一个自定义的进度环:ProgressChart
  6. 什么是大数据,怎么理解和应对大数据时代
  7. 【Linux】安装x11vnc和xrdp,使用windows远程deepin
  8. WinRAR 试用版曝漏洞:免费软件并不“免费“
  9. PIC单片机开发环境搭建
  10. 422通讯测试软件,通讯软硬件实现通讯测试
  11. 分享两套企业级进销存管理系统源码
  12. 怎么把图片的边缘弄圆_如何PS制做出边缘清晰或虚化的圆角照片
  13. 【b站雅思笔记】Simon‘s IELTS Course - 阅读部分
  14. realme真我gt能升级鸿蒙系统吗,realme真我GT Neo闪速版曝光,换用双电芯电池
  15. excel计算式自动计算_计算macd 分解步骤一步一步详细计算macd 用excel计算macd
  16. opengl自学记录_键盘控制图形平移
  17. 算法图解(一):算法简介
  18. 安装centOS 7双系统(四)——解决Broadcom博通BCM 43xx无线网卡驱动问题
  19. 串联单元集成自清洗过滤器
  20. vue组件之间的传参总结

热门文章

  1. android书籍推荐!分析Android未来几年的发展前景,灵魂拷问
  2. 安装WPS Linux版本
  3. Unity 之 解决包体过大问题记录和纹理相关知识点整理
  4. 原生_H5交互插件(适用于与V2.1)
  5. 各厂商接入交换机通过ACL限制端口应用的配置信息
  6. calender加3天_JAVA日期或者时间加减法,加上几天或者减去
  7. Connection to tcp://39.96.3.215:1935 failed: Error number -138 occurred
  8. python分析数据的相关性质_理解数据的性质_Python数据分析实战应用_数据挖掘与分析视频-51CTO学院...
  9. P3964 松鼠聚会(切比雪夫距离模板)
  10. php 直播流,ngnix开发(五)将rtmp直播流转换成hls直播流