Scribd Logo
Importer

Bienvenue sur Scribd !

  • Datos Sensibles

    Transféré par

    linkincence
    18 vues8 pages
    Datos sensibles owasp

    Titre original

    DATOS SENSIBLES

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    Datos sensibles owasp

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    18 vues8 pages

    Datos Sensibles

    Transféré par

    linkincence
    Datos sensibles owasp

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 8

    TOP OWASP NO.

    6
    EXPOSICIN DE DATOS SENSIBLES
    (SENSITIVE DATA EXPOSURE)
    QU ES?

    Cuando los datos sensibles no se


    encuentran encriptados o no tienen la
    seguridad suficiente y son vulnerables de
    obtener por atacantes internos o
    externos.
    EJEMPLOS DE ESCENARIOS DE ATAQUE

    Escenario #1:
    Una aplicacin cifra los nmeros de tarjetas de crdito en
    una base de datos utilizando cifrado automtico de la base
    de datos.
    Esto significa que tambin se descifra estos datos
    automticamente cuando se recuperan, permitiendo por
    medio de una debilidad de inyeccin de SQL recuperar
    nmeros de tarjetas en texto claro.
    El sistema debera cifrar dichos nmero usando una clave
    pblica, y permitir solamente a las aplicaciones de back-end
    descifrarlo con la clave privada.
    EJEMPLOS DE ESCENARIOS DE ATAQUE

    Escenario #2:
    Un sitio simplemente no utiliza SSL para todas sus pginas
    que requieren autenticacin.
    El atacante monitorea el trfico en la red (como ser una red
    inalmbrica abierta), y obtiene la cookie de sesin del usuario.
    El atacante reenva la cookie y secuestra la sesin, accediendo
    los datos privados del usuario.
    EJEMPLOS DE ESCENARIOS DE ATAQUE

    Escenario #3:
    La base de datos de claves usa hashes sin salt para almacenar las claves.
    Una falla en una subida de archivo permite a un atacante obtener el archivo de claves.
    Todas las claves pueden ser expuestas mediante una tabla rainbow de hashes precalculados.
    VULNERABILIDADES
    COMO EVITARLO
    Realizar como mnimo lo siguiente:
    1. No almacene datos sensibles innecesariamente.
    2. Asegrese de aplicar algoritmos de cifrado fuertes y estndar as como claves fuertes y gestinelas de
    forma segura.
    3. Asegrese que las claves se almacenan con un algoritmo especialmente diseado para protegerlas.
    4. Deshabilite el autocompletar en los formularios que recolectan datos sensibles.
    5. Deshabilite tambin el cacheado de pginas que contengan datos sensibles.
    COMO EVITARLO

    DATA MASKING
    El enmascaramiento de datos es el proceso de oscurecimiento de datos
    dentro de una base de datos para asegurar la seguridad de dichos datos y que
    informacin sensible no est expuesta a abuso o negligencia por parte de
    usuarios tanto internos como externos.

    Vous aimerez peut-être aussi