7.不安全的密碼存儲

不安全的密碼存儲( Insecure CrYl)tographic Storage)，指Web應用程序沒有使用加密算法、或使用較弱的加密演算法對敏感性資料加密存儲，或簡單地將密鑰儲存于容易被獲取之處。

許多Web應用程序存在大量敏感數據，包括信用卡、社保卡號碼、身份認證證書等， Web應用這些敏感信息存儲到數據庫或者文件系統中，并使用適當的加密措施或Hash算法來保護。通常的漏洞是應該加密的數據不進行加密；在使用加密的情況下，常見的問題是不安全的密鑰生成和儲存、不輪換密鑰、使用弱算法、使用弱的或者不帶鹽的哈希算法等。攻擊者可能利用這種弱點來實施身份盜竊、信用卡詐騙或其他犯罪行為。