敏感信息泄露表现形式

在这个领域最常见的漏洞是应该加密的数据不进行加密。
在使用加密的情况下，常见的问题是不安全的密钥生成和冒理和使用弱算法是很普遍的，特别是使用弱的哈希算法来保护密码。
浏览器的漏洞也很普遍，且可以很轻易的检测到，但是很难大规模的利用。
敏感信息

加密算法如下：

常见敏感信息

运维层面：
- 日志
- 备份文件
- 配置文件
应用层面：
- 用户信息
- 通信录
- 邮箱

敏感信息泄露案例

案例1 ：一个网站上所有需要身份验证的网页都没有使用SSL 。攻击者只需监控网络数据流（比如一个开放的无线网络或其社区的有线网络），并窃取一个已验证的受害者的会话cookie 。

然后，攻击者利用这个cookie 执行重放攻井接管用户的会话从而访问用户的隐私数据。

案例2 ：密码数据库使用unsalted 的哈希算法去存储每个人的密码。一个文件上传漏洞使黑客能够获取密码文件。所有这些unsalted哈希的密码通过彩虹表暴力破解方式破解。

敏感数据防护检查

对于敏感数据，应当确保：
1 · 当这些数据被长期存储的时候，无论存储在哪里，它们是否都被加密，特别是对这些数据的备份
2 · 无论内部数据还是外部数据，在互联网中传输明文数据是非常危险的。
3 · 是否还在使用任何旧的或脆弱的加密算法
4 · 加密密钥的生成是否是脆弱的，或者缺少恰当的密钥管理或缺少密钥回转？

敏感信息泄露的预防

1 · 顺测一些威胁，加密这些数据的存储以确保免受这些威胁。
2 · 对于没必要存放的、重要的敏感数据，应当尽快清除。
3 · 确保使用了合适的强大的标准去和强大的密匙，井且密匙管理到位
4 · 确保使用密码专用算法存储密码，如： bcrypt 、PBKDF2 或scrypt
5 · 禁用自动完成防止敏感数据收集，禁用包含敏感数据的缓存页面。