在挖掘一个Web应用漏洞时,发现该应用存储了用户的敏感信息(如密码哈希、个人身份信息),请说明如何安全地处理这些数据(避免泄露),以及360安全卫士或360浏览器如何通过技术手段(如数据加密、脱敏、访问控制)来保护用户隐私。
360助理安全研究实习生(漏洞挖掘与利用)难度:中等
答案
1) 【一句话结论】
处理Web应用中存储的敏感数据(如密码哈希、个人身份信息),需从数据全生命周期(存储、传输、使用、删除)管理,通过数据加密(AES-256等)、数据脱敏(部分信息隐藏)、访问控制(RBAC)等技术,结合360安全卫士/浏览器的本地加密存储、密钥管理(HSM)、沙箱隔离等机制,显著降低泄露风险,保护用户隐私。
2) 【原理/概念讲解】
老师:咱们先拆解三个核心技术,别空谈理论。
- 数据加密:将敏感数据(明文)转换为密文,需密钥解密。好比给数据“上锁”,只有持有“钥匙”(密钥)的人能打开。360安全卫士/浏览器常用AES-256等强加密算法,对存储的密码哈希、PII加密,密钥存储在本地硬件安全模块(HSM)或操作系统内核隔离的密钥库中,防止被恶意程序窃取。
- 数据脱敏:对敏感信息部分隐藏,比如密码显示为“****”,或哈希值保留但部分字符替换。类比“遮住眼睛看,只露出部分特征”,避免泄露完整信息。360浏览器在显示密码时,会自动脱敏,仅展示部分字符;后端存储时,可能对PII(如手机号)隐藏中间几位。
- 访问控制:限制谁能访问数据,比如基于角色的访问控制(RBAC),把用户分为“管理员”“普通用户”,管理员可访问所有数据,普通用户仅能访问自身数据。360安全卫士通过权限策略,限制只有授权的后端服务能访问加密数据,比如只有登录验证服务能解密密码哈希进行比对。
3) 【对比与适用场景】
| 方法 | 定义 | 特性 | 使用场景 | 注意点 |
|---|---|---|---|---|
| 数据加密 | 对敏感数据加密存储/传输 | 需密钥,解密后可恢复 | 密码、支付信息、PII存储 | 密钥安全是关键,需定期轮换 |
| 数据脱敏 | 部分隐藏敏感信息 | 不可逆或部分可逆 | 显示密码、展示PII(如手机号) | 脱敏粒度需平衡安全与可用性 |
| 访问控制 | 限制数据访问权限 | 基于角色/策略 | 后端数据库、API接口 | 策略需动态更新,遵循最小权限 |
4) 【示例】
伪代码示例(存储密码哈希的加密与验证,含密钥轮换触发):
# 存储时:加密哈希(密钥轮换触发)
def store_password(user_id, password):
aes_key = get_secure_key() # 从HSM获取密钥,支持密钥轮换
hashed = sha256(password) # 先哈希
encrypted_hash = encrypt(hashed, aes_key) # 加密哈希
save_to_db(user_id, encrypted_hash) # 存入数据库
# 密钥轮换触发(时间或事件触发)
def renew_key():
new_key = hsm.generate_key() # 从HSM生成新密钥
update_key_store(new_key) # 更新密钥库,旧密钥失效
# 请求时:解密后哈希比对
def verify_password(user_id, input_password):
encrypted_hash = get_from_db(user_id) # 从数据库获取加密哈希
aes_key = get_secure_key() # 从HSM获取密钥
decrypted_hash = decrypt(encrypted_hash, aes_key) # 解密
if sha256(input_password) == decrypted_hash:
return "登录成功"
return "失败"
请求示例(用户登录):
- 用户发送明文密码(如“123456”),服务器用密钥解密后哈希比对,确认后返回登录成功。同时,用户密码在传输过程中通过HTTPS加密,防止中间人攻击。
5) 【面试口播版答案】
面试官您好,处理Web应用中存储的敏感数据(如密码哈希、个人身份信息),核心是通过数据加密、数据脱敏、访问控制结合360的安全技术。具体来说:
- 数据加密:360安全卫士/浏览器用AES-256等强加密算法,对存储的密码哈希加密,密钥存于本地硬件安全模块(HSM),防止被恶意程序窃取;
- 数据脱敏:比如密码显示为前4位星号后4位星号,或哈希值保留前8位后用*替换,避免泄露完整信息;
- 访问控制:通过RBAC策略限制只有授权的后端服务能访问加密数据。
此外,敏感数据传输必须通过HTTPS加密,确保传输安全。从存储、传输到使用各环节,能有效降低泄露风险,保护用户隐私。
6) 【追问清单】
- 问:加密算法选择?
答:优先选AES-256等强加密算法,密钥管理用HSM或安全密钥库,定期(如每90天)轮换密钥。 - 问:密钥轮换的触发机制?
答:支持时间触发(如每90天)或事件触发(如系统重启后),通过HSM接口更新密钥,确保密钥新鲜性。 - 问:脱敏粒度如何确定?
答:根据业务需求,比如密码显示4位星号,哈希值保留前8位后用*替换,平衡安全与可用性。 - 问:访问控制具体实现?
答:采用RBAC,角色分为管理员、普通用户,管理员可访问所有数据,普通用户仅能访问自身数据。 - 问:如何防止加密密钥泄露?
答:密钥存储在硬件安全模块(HSM)或操作系统内核隔离的密钥库,避免进程间泄露。
7) 【常见坑/雷区】
- 加密后仍可破解:选择弱加密算法(如DES),或密钥硬编码。
- 脱敏过度/不足:过度脱敏导致数据无意义(如密码显示为“*****”无识别性),不足则泄露关键信息(如密码显示为“1234”)。
- 访问控制漏洞:未实现最小权限原则,普通用户可访问其他用户数据。
- 未考虑传输安全:敏感数据传输未用HTTPS,导致中间人攻击。
- 密钥轮换不及时:密钥长期未更换,被破解后数据泄露。