A04:2025 - 加密失效

💡 学习提示: 本文档介绍 OWASP Top 10 A04 - 加密失效，涉及敏感数据保护的核心安全问题。

📋 风险概述

加密失效 (Cryptographic Failures) 是指由于未加密、弱加密或加密实现不当，导致敏感数据泄露的风险。这类风险 formerly 称为"敏感数据泄露"(Sensitive Data Exposure)。

项目	说明
发生率	2.56%
平均影响	7.42/10

# ❌ 使用 HTTP 而非 HTTPS
http://example.com/login
# 密码以明文传输

# ❌ 使用 MD5/SHA1
hash = md5(password)
hash = sha1(password)

# ✅ 使用 bcrypt/argon2
import bcrypt
hash = bcrypt.hashpw(password, bcrypt.gensalt())

# ❌ 使用 DES、RC4、MD5
# ✅ 使用 AES-256、RSA-2048+

# ❌ 密钥硬编码在代码中
SECRET_KEY = "mysecretkey123"
ENCRYPTION_KEY = "0123456789abcdef"

# 配置强制 HTTPS
server {
    listen 80;
    return 301 https://$server_name$request_uri;
}

# ✅ 使用 bcrypt
import bcrypt
hashed = bcrypt.hashpw(password.encode(), bcrypt.gensalt(12))

# ✅ 使用环境变量或密钥管理服务
import os
SECRET_KEY = os.environ.get('SECRET_KEY')

OWASP Top 10:2025 A04: https://owasp.org/Top10/A04_2025-Cryptographic_Failures/

最后更新：2026-03-10