Riesgo A3 en OWASP - Exposición de datos sensibles

Author
By Darío Rivera
Posted on 2021-11-30 in OWASP

En nuestro post Qué es OWASP y por qué todo desarrollador debería conocerlo vimos una introducción a OWASP y por qué es tan importante en el desarrollo de aplicaciones web. Dentro del proyecto TOP TEN, vamos a ahondar un poco en cada una de los diez riesgos de seguridad más críticos en aplicaciones web. Hoy es el turno del Riesgo A3 - Exposición de datos sensibles.

Definición

Este riesgo se refiere a la baja o falta de protección de los datos sensibles de una aplicación. Recordemos que los datos sensibles son todos aquellos datos personales, financieros, médicos o credenciales de acceso.

Ejemplos

- Un inicio de sesión que puede ser atacado con fuerza bruta mediante un diccionario de datos.
- Claves de usuario guardadas utilizando algoritmos débiles de hash como md5.
- Aplicaciones que no cifran datos sensibles.

Prevención

- No se debe almacenar datos sensibles innecesariamente. Los datos sensibles que no se utilizarán posteriormente debe ser eliminados de manera adecuada o utilizar sistemas de tokens como especifica PCI DSS.
- Se deben cifrar todos los datos sensibles almacenados con algoritmos seguros, protocolos estándar y difíciles de vulnerar. No cree sus propios algoritmos de cifrado.
- No se debe almacenar en caché datos sensibles .
- Las contraseñas deben ser almacenadas utilizando funciones de hash adaptables con un factor de trabajo (retraso) además del SALT.


Acerca de Darío Rivera

Author

Ingeniero de desarrollo en PlacetoPay , Medellín. Darío ha trabajado por más de 6 años en lenguajes de programación web especialmente en PHP. Creador del microframework DronePHP basado en Zend y Laravel.

Sólo aquellos que han alcanzado el éxito saben que siempre estuvo a un paso del momento en que pensaron renunciar.