Pruebas de seguridad: exposición de datos sensibles

Dado que las aplicaciones en línea siguen inundando Internet día a día, no todas las aplicaciones están protegidas. Muchas aplicaciones web no protegen adecuadamente los datos confidenciales del usuario, como la información de las tarjetas de crédito, la información de la cuenta bancaria o las credenciales de autenticación. Los piratas informáticos pueden terminar robando esos datos débilmente protegidos para cometer fraude con tarjetas de crédito, robo de identidad u otros delitos.

Comprendamos los agentes de amenazas, los vectores de ataque, la debilidad de la seguridad, el impacto técnico y los impactos comerciales de esta falla con la ayuda de un diagrama simple.

Ejemplo

Algunos de los ejemplos clásicos de configuración incorrecta de seguridad son los siguientes:

  • Un sitio simplemente no usa SSL para todas las páginas autenticadas. Esto permite a un atacante monitorear el tráfico de la red y robar la cookie de sesión del usuario para secuestrar la sesión de los usuarios o acceder a sus datos privados.

  • Una aplicación almacena los números de las tarjetas de crédito en formato cifrado en una base de datos. Una vez recuperados, se descifran, lo que permite al pirata informático realizar un ataque de inyección SQL para recuperar toda la información confidencial en un texto claro. Esto se puede evitar cifrando los números de tarjetas de crédito con una clave pública y permitiendo que las aplicaciones de back-end los descifren con la clave privada.

Las manos en

Step 1- Inicie WebGoat y navegue hasta la sección "Almacenamiento inseguro". A continuación se muestra una instantánea de la misma.

Step 2- Ingrese el nombre de usuario y la contraseña. Es hora de aprender diferentes tipos de metodologías de codificación y encriptación que discutimos anteriormente.

Mecanismos preventivos

  • Se recomienda no almacenar datos confidenciales innecesariamente y debe eliminarse lo antes posible si ya no es necesario.

  • Es importante asegurarse de que incorporamos algoritmos de cifrado sólidos y estándar, y que se implementa una administración de claves adecuada.

  • También se puede evitar deshabilitando el autocompletado en formularios que recopilan datos confidenciales, como contraseñas, y deshabilitando el almacenamiento en caché de páginas que contienen datos confidenciales.