7.不安全的密碼存儲(chǔ)

不安全的密碼存儲(chǔ)( Insecure CrYl)tographic Storage)，指Web應(yīng)用程序沒(méi)有使用加密算法、或使用較弱的加密演算法對(duì)敏感性資料加密存儲(chǔ)，或簡(jiǎn)單地將密鑰儲(chǔ)存于容易被獲取之處。

許多Web應(yīng)用程序存在大量敏感數(shù)據(jù)，包括信用卡、社保卡號(hào)碼、身份認(rèn)證證書(shū)等， Web應(yīng)用這些敏感信息存儲(chǔ)到數(shù)據(jù)庫(kù)或者文件系統(tǒng)中，并使用適當(dāng)?shù)募用艽胧┗騂ash算法來(lái)保護(hù)。通常的漏洞是應(yīng)該加密的數(shù)據(jù)不進(jìn)行加密；在使用加密的情況下，常見(jiàn)的問(wèn)題是不安全的密鑰生成和儲(chǔ)存、不輪換密鑰、使用弱算法、使用弱的或者不帶鹽的哈希算法等。攻擊者可能利用這種弱點(diǎn)來(lái)實(shí)施身份盜竊、信用卡詐騙或其他犯罪行為。