数据泄漏分析与脆弱性分析之间的差异/关系？

Question

数据泄漏分析和脆弱性分析之间有什么区别/关系？数据泄漏分析需要进行多大程度和什么样的漏洞测试？

我要给一些移动应用程序的数据泄漏分析报告。据我所知，当应用程序本身将重要数据发送到外部环境(例如远程服务器或日志文件(移动操作系统上的其他应用程序可以访问)或将其保存在某个不安全和易受攻击的地方时，就会发生数据泄漏。

根据我的理解，我只需要检查应用程序是如何通信和保存重要数据的。

至于漏洞和利用漏洞，因此一些恶意方可能会使用复杂而聪明的方式对应用程序进行黑客攻击，并窃取其数据。也就是说，它们既不侵入受害者的数据通信方法，也不侵入可能的存储位置(例如日志)，而是侵入应用程序的其他组件。例如，用不同的远程服务器调用一个函数将数据发送到.

我知道需要进行一些漏洞分析，例如不应该对发送到服务器的数据进行非加密.但是通常需要进行多深(以及什么样的)漏洞分析？我在上面提到的场景，是否需要这样的测试？

Answer 1

“数据泄漏”通常被定义为由于程序/用户的正常操作而变得可用的未经授权的数据。至于您以未加密方式传输的数据的例子，我认为这不是漏洞分析，而是数据分析的正常部分(数据所涉及的任何地方都需要适当的保护来对数据进行分类)。

因此，与“漏洞”的关系与如果用户利用程序中的弱点时可以提取的信息有关。

不同的是正常手术和意外手术。

至于需要进行多大程度的脆弱性分析，这取决于报告的范围和期望。如果您的任务是定义正常操作的影响(“操作焦点”)，则不需要进行任何漏洞测试。另一方面，如果报告应该定义对数据的每一个威胁(“数据焦点”)，那么您不仅需要对潜在的漏洞进行非常详细的分析，还需要深入分析代码和体系结构本身。

Answer 2

漏洞可以从“回家，你被抓”到“害虫”。当然，如果您完全接管了一个系统，那么它的所有数据都可以供您获取。数据泄漏可能是应用程序设计中固有的(以明文方式传输数据)，是编程中的一个错误(嘿，会话ID被关闭了一个！)，或者它可能源于SQLi、XSS或CSRF等漏洞。

当您寻找数据泄漏时，请检查是否有良好的访问/传输控件，并确保这些控件不能被漏洞规避。还要注意花园中的各种漏洞，因为您可以利用它们来获取目标系统提供受保护的数据。

数据泄漏是你的目标。您可以以多种方式达到此目的，您需要尽可能地列举这些方法。