Académique Documents
Professionnel Documents
Culture Documents
6
EXPOSICIN DE DATOS SENSIBLES
(SENSITIVE DATA EXPOSURE)
QU ES?
Escenario #1:
Una aplicacin cifra los nmeros de tarjetas de crdito en
una base de datos utilizando cifrado automtico de la base
de datos.
Esto significa que tambin se descifra estos datos
automticamente cuando se recuperan, permitiendo por
medio de una debilidad de inyeccin de SQL recuperar
nmeros de tarjetas en texto claro.
El sistema debera cifrar dichos nmero usando una clave
pblica, y permitir solamente a las aplicaciones de back-end
descifrarlo con la clave privada.
EJEMPLOS DE ESCENARIOS DE ATAQUE
Escenario #2:
Un sitio simplemente no utiliza SSL para todas sus pginas
que requieren autenticacin.
El atacante monitorea el trfico en la red (como ser una red
inalmbrica abierta), y obtiene la cookie de sesin del usuario.
El atacante reenva la cookie y secuestra la sesin, accediendo
los datos privados del usuario.
EJEMPLOS DE ESCENARIOS DE ATAQUE
Escenario #3:
La base de datos de claves usa hashes sin salt para almacenar las claves.
Una falla en una subida de archivo permite a un atacante obtener el archivo de claves.
Todas las claves pueden ser expuestas mediante una tabla rainbow de hashes precalculados.
VULNERABILIDADES
COMO EVITARLO
Realizar como mnimo lo siguiente:
1. No almacene datos sensibles innecesariamente.
2. Asegrese de aplicar algoritmos de cifrado fuertes y estndar as como claves fuertes y gestinelas de
forma segura.
3. Asegrese que las claves se almacenan con un algoritmo especialmente diseado para protegerlas.
4. Deshabilite el autocompletar en los formularios que recolectan datos sensibles.
5. Deshabilite tambin el cacheado de pginas que contengan datos sensibles.
COMO EVITARLO
DATA MASKING
El enmascaramiento de datos es el proceso de oscurecimiento de datos
dentro de una base de datos para asegurar la seguridad de dichos datos y que
informacin sensible no est expuesta a abuso o negligencia por parte de
usuarios tanto internos como externos.