安全漏洞问题1：不安全的加密存储

安全漏洞问题1：不安全的加密存储
1.1. 漏洞描述
对重要信息不进行加密处理或加密强度不够，或者没有安全的存储加密信息，都会导致攻击者获得重要信息。此风险还涉及Web应用以外的安全管理。
1.2. 漏洞危害
Web应用程序没有对敏感性资料加密或使用较弱的加密算法（MD5 / SHA1）或将钥储存于容易被取得之处，使得机密资料容易被攻击者破解，造成资料外泄。
1.3. 解决方案
目前广泛被使用的加密算法AES、RSA public key cryptography和SHA-256皆属于较安全的加密演算法；因此，在系统设计阶段时，可考虑采用这些算法，以提升资料安全保护等级。
可以采取如下手段防止存在“不安全的加密存储“漏洞：
 对所有重要信息进行加密；
 使用足够强度的加密算法，比如AES、RSA；
 存储密码时，用SHA-256等健壮哈希算法进行处理；
 产生的密钥不能与加密信息一起存放；
 严格控制对加密存储的访问等。
如果使用MD5算法，应采用两遍MD5的方式，对原始数据进行保护，如下示例：
第一遍MD5： strTmp = md5(strSuorce);
中间结果字串变形：strTmp = strTmp+”XXXX”;
第二遍MD5： strResult = md5(strTmp);