Videos

Published on February 22nd, 2019 📆 | 2018 Views ⚑

0

[OWASP Top 10] A3: Sensitive Data Exposure – Ekspozycja wrażliwych danych

iSpeech

A jest ich wbrew pozorom całkiem sporo: począwszy od numeru kart kredytowych, haseł do konta, adresu email, daty urodzenia, czy też informacji na temat naszego stanu zdrowia.
Różne są ryzyka związane z wyciekiem różnych danych.
I tak jeżeli wyciekną numery kart kredytowych - ktoś może stracić pieniądze z konta.
Poznanie hasła może pozwolić na zalogowanie się do innego serwisu jeżeli użytkownik używa tych samych danych w wielu miejscach.
A nasz adres email może zostać użyty w kampaniach mailingowych, w których to dystrybuowane jest złośliwe oprogramowanie.

Kolejnym ważnym punktem jest szyfrowanie danych - bezpieczne przechowywanie danych oraz ochrona w trakcie ich przesyłania.
Ten dróg podpunkt w obecnych czasach może wydawać się oczywisty - mowa bowiem o protokole https i szyfrowaniu połączenia.

Każde ciasteczko winno mieć ustawioną flagę Secure - która sprawia, że nie zostanie ono wysłane przy użyciu protokołu http.
Co nam bowiem z faktu, że podczas logowania połączenie jest szyfrowane jeżeli ciasteczko z informacją na temat sesji użytkownika jest przesyłane z każdym żądaniem.
A sesja taka pozwala na zalogowanie się jako dany użytkownik i to bez znajomości jego hasła.

Ale strony to nie jedyne miejsce, przez które przepływają informacje.
Rzadko która większa strona jest uruchomiona tylko na jednym serwerze - zwłaszcza w obecnych czasach, gdzie dostęp dla chmur obliczeniowych jest znacząco uproszczony.
Nie zapominajmy również o aplikacjach na urządzenia mobilne, które to komunikują się naszymi endointami API.
Tutaj kluczowym jest sprawdzanie poprawności certyfikatu SSL.

Oczywistym wydaje się fakt, aby nie przechowywać haseł w tak zwanym plain texcie a w formie haszy z solą.
Sól to dodatkowa losowa, wartość, dla każdego konta inna, która łączona jest z hasłem przesłanym przez użytkownika.
I to z całego takiego ciągu generuje się hasz - czyli wynik funkcji jednokierunkowej i porównuje się go z tym, zapisanym w bazie.

Z roku na rok komputery są coraz szybsze.
Dlatego warto zainteresować się funkcjami, które posiadają tak zwany work factor, który jest wartością konfigurowalną.

Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/
OWASP: https://www.owasp.org/index.php/Top_10-2017_Top_10

Free Broll provided by videezy.com Stock footage provided by Videvo, downloaded from https://www.videvo.net
Icon made by Freepik www.flaticon.com
Design vector created by freepik - www.freepik.com

#od0dopentestera #owasp #data

source

Tagged with: 10 • aes • API • Auto • autocomplete • bezpieczeństwa • bezpieczeństwo • blok • błędy • certyfikat • danych • data • docker • ecb • ekspozycja • exploit-db • exposure • factor • github • hasło • hasz • hsts • https • Java • kacper • karta • kredytowa • liwych • oracle • owasp • padding • plain • podatności • random • ryzyka • secret • secure • security • sekret • sensitive • sól • SSL • szurek • szyfrowanie • Ten • text • token • TOP • uzupełnienie • work • wrażliwych • XXE