使用修订版OWASP Top Ten保证Web应用程序安全——第八部分

锁定：使用修订版OWASP Top Ten保证Web应用程序的安全——第一部分

锁定：使用修订版OWASP Top Ten保证Web应用程序的安全——第二部分

锁定：使用修订版OWASP Top Ten保证Web应用程序的安全——第三部分

锁定：使用修订版OWASP Top Ten保证Web应用程序安全——第四部分

锁定：使用修订版OWASP Top Ten保证Web应用程序的安全——第五部分

锁定：使用修订版OWASP Top Ten保证Web应用程序的安全——第六部分

在这个修订版开放Web应用程序安全项目（OWASP）前十系列的最后一篇文章中，我们将探讨最后三个脆弱性——加密存储不安全、通信不安全和无法限制URL访问。

2007 OWASP Top 10的最后三个脆弱性之间的关系非常密切。它们全都与无法采取正确措施来保护数据访问有关。我们将了解这些Web应用程序弱点，如何确认它们的存在，以及组织减轻与这些脆弱性有关的风险所能采取的措施。

加密存储不安全

加密存储不安全是指敏感信息没有采取合理适当的加密措施就保存在易失性或非易失性存储器中。换句话说，将未加密的密码、加密密钥或电子保护健康信息(ePHI)保存在攻击者可能访问到的位置，这种做法并不合适。

我常常在Web或应用程序服务器上发现用户ID和密码以明文形式保存在文本文件中。开发者使用非标准加密算法——包括他们自己创立的算法——加密敏感信息的做法也相当普遍。在这两种情况下，知道信息位置的内外攻击者就可以相对容易地访问这些有价值的信息。

最后说说数据库。数据库是企业所有关键和敏感信息的存储仓库。每个数据库服务器、数据库或表的安全等级取决于其中存储数据的分级。简单使用用户ID和密码访问控制可能不足以说明应有的注意（due diligence）。

确认存在加密存储不安全脆弱性

根据OWASP，没有有效的方法可以探测加密方法或算法中存在的弱点。确定组织的加密方法是否合理的最佳方法是检查归档的过程和政策。

组织应保证对敏感信息的脆弱性进行风险评估检查。他们应当确认，ePHI、PII、密码、密钥和证书依照文档化的规程得到正确的保护。