安全漏洞问题1:不安全的加密存储

  1. 云栖社区>
  2. 博客>
  3. 正文

安全漏洞问题1:不安全的加密存储

inzaghi1984 2017-11-21 09:37:46 浏览3023
展开阅读全文

安全漏洞问题1:不安全的加密存储
1.1. 漏洞描述
对重要信息不进行加密处理或加密强度不够,或者没有安全的存储加密信息,都会导致攻击者获得重要信息。此风险还涉及Web应用以外的安全管理。
1.2. 漏洞危害
Web应用程序没有对敏感性资料加密或使用较弱的加密算法(MD5 / SHA1)或将钥储存于容易被取得之处,使得机密资料容易被攻击者破解,造成资料外泄。
1.3. 解决方案
目前广泛被使用的加密算法AES、RSA public key cryptography和SHA-256皆属于较安全的加密演算法;因此,在系统设计阶段时,可考虑采用这些算法,以提升资料安全保护等级。
可以采取如下手段防止存在“不安全的加密存储“漏洞:
 对所有重要信息进行加密;
 使用足够强度的加密算法,比如AES、RSA;
 存储密码时,用SHA-256等健壮哈希算法进行处理;
 产生的密钥不能与加密信息一起存放;
 严格控制对加密存储的访问等。
如果使用MD5算法,应采用两遍MD5的方式,对原始数据进行保护,如下示例:
第一遍MD5: strTmp = md5(strSuorce);
中间结果字串变形:strTmp = strTmp+”XXXX”;
第二遍MD5: strResult = md5(strTmp);

网友评论

登录后评论
0/500
评论
inzaghi1984
+ 关注