Web安全防护技术之不安全的密码存储

7.不安全的密码存储

不安全的密码存储( Insecure CrYl)tographic Storage)，指Web应用程序没有使用加密算法、或使用较弱的加密演算法对敏感性资料加密存储，或简单地将密钥储存于容易被获取之处。

许多Web应用程序存在大量敏感数据，包括信用卡、社保卡号码、身份认证证书等， Web应用这些敏感信息存储到数据库或者文件系统中，并使用适当的加密措施或Hash算法来保护。通常的漏洞是应该加密的数据不进行加密；在使用加密的情况下，常见的问题是不安全的密钥生成和储存、不轮换密钥、使用弱算法、使用弱的或者不带盐的哈希算法等。攻击者可能利用这种弱点来实施身份盗窃、信用卡诈骗或其他犯罪行为。