TOP TEN

4. REFERENCIA DIRECTA INSEGURA A OBJETOS 7. ALMACENAMIENTO CRIPTOGRFICO INSEGURO

Seguridad

Referencia directa insegura a objetos

Ocurre cuando un desarrollador expone una referencia a un objeto de implementacin interno, tal como un fichero, directorio, o base de datos. Sin un chequeo de control de acceso u otra proteccin.

Los atacantes pueden manipular estas referencias para acceder datos no autorizados.

Vulnerabl e?

Cmo evitarlo?

Verificar que todas las referencias a objetos tienen las protecciones apropiadas. Referencias directas a recursos restringidos, la aplicacin necesitara verificar si el usuario est autorizado a acceder al recurso en concreto que solicita. Si la referencia es una referencia indirecta, la correspondencia con la referencia directa debe ser limitada a valores autorizados para el usuario en concreto.

Utilizar referencias indirectas por usuario o sesin. Esto evitara que los atacantes accedieren directamente a recursos no autorizados. Comprobar el acceso

Ejemplo
http://example.com/app/accountInfo?acct=notmya cct SELECT * FROM notmyacct

Almacenamiento criptogrfico inseguro

Los atacantes normalmente no rompen el sistema criptogrfico. Rompen alguna otra cosa, por ejemplo, encontrando claves, copias de datos no cifradas o accediendo por canales que automticamente descifran la informacin.

El error ms comn en este rea es simplemente no cifrar datos que deberan ser cifrados.
Cuando se cifra la informacin, son comunes la generacin y almacenamiento inseguros de claves, no rotacin de claves y el uso de algoritmos dbiles

Vulnerabl e?
Identificar son los datos que son suficientemente sensibles y requieren cifrado. Por ejemplo, contraseas, tarjetas de crdito, datos mdicos e informacin personal. Para todos ellos, asegurar de que: Slo usuarios autorizados tienen acceso a los datos descifrados (por ejemplo, control de acceso Utilizar un algoritmo estndar seguro. Generar una clave segura, protjala ante accesos no autorizados y elabore un plan para el cambio de claves

Cmo evitarlo?

Asegurar que todas las claves y contraseas son protegidas contra acceso no autorizado. Asegrese del uso adecuado de algoritmos estndares robustos, Transmitir las claves de cifrado solo a los mnimos e imprescindibles usuarios.

Ejemplo
Una cinta de backup almacena datos mdicos cifrados pero la clave en cifrado se encuentra en el mismo backup Una aplicacin cifra las tarjetas de crdito en la base de datos para prevenir que los datos sean expuestos a los usuarios finales. Sin embargo, la base de datos descifra automticamente las columnas de las tarjetas de crdito, permitiendo que una vulnerabilidad de inyeccin de SQL pueda extraer las tarjetas de crdito en texto plano.