业务系统对用户口令等机密信息的保护不足,攻击者可以利用攻击工具,从网络上窃取合法用户的口令数据,从而登录系统执行非法操作。攻击者可以利用监听工具在网络中窃取合法用户的口令数据,从而非法获取系统的访问权限。
检测方法:
通过burpsuite工具拦截系统请求,查看请求中是否包含有敏感信息,检查敏感信息加密方式。特别需要重点检查的是用户口令、邮箱密码、用户私密信息(手机号、身份证号、银行卡号等)。
解决方案:
对系统内关于密码传输的信息需要做加密处理;建议采用国密算法,不要采用容易被破解的加密方法(如md5加密),不要采用编码方式(如base64编码、url编码等),对于重要业务数据的展示进行脱敏处理,需要明文展示的需要二次认证或者对用户进行权限过滤,拥有指定权限的用户才可查看明文数据