Riesgo A3 en OWASP - Exposición de datos sensibles

Author
Por Darío Rivera
Publicado el en OWASP

En nuestro post Qué es OWASP y por qué todo desarrollador debería conocerlo vimos una introducción a OWASP y por qué es tan importante en el desarrollo de aplicaciones web. Dentro del proyecto TOP TEN, vamos a ahondar un poco en cada una de los diez riesgos de seguridad más críticos en aplicaciones web. Hoy es el turno del Riesgo A3 - Exposición de datos sensibles.

Definición

Este riesgo se refiere a la baja o falta de protección de los datos sensibles de una aplicación. Recordemos que los datos sensibles son todos aquellos datos personales, financieros, médicos o credenciales de acceso.

Ejemplos

- Un inicio de sesión que puede ser atacado con fuerza bruta mediante un diccionario de datos.
- Claves de usuario guardadas utilizando algoritmos débiles de hash como md5.
- Aplicaciones que no cifran datos sensibles.

Prevención

- No se debe almacenar datos sensibles innecesariamente. Los datos sensibles que no se utilizarán posteriormente debe ser eliminados de manera adecuada o utilizar sistemas de tokens como especifica PCI DSS.
- Se deben cifrar todos los datos sensibles almacenados con algoritmos seguros, protocolos estándar y difíciles de vulnerar. No cree sus propios algoritmos de cifrado.
- No se debe almacenar en caché datos sensibles .
- Las contraseñas deben ser almacenadas utilizando funciones de hash adaptables con un factor de trabajo (retraso) además del SALT.

Acerca de Darío Rivera

Author

Application Architect at Elentra Corp . Quality developer and passionate learner with 10+ years of experience in web technologies. Creator of EasyHttp , an standard way to consume HTTP Clients.

LinkedIn Twitter Instagram

Sólo aquellos que han alcanzado el éxito saben que siempre estuvo a un paso del momento en que pensaron renunciar.

Categorías