Top Ten Owasp: Sensitive data exposure
- Antonio Capobianco
- Visite: 3563
Questa vulnerabilità riguarda tutte quelle applicazioni Web e API che non proteggono adeguatamente i dati sensibili, come finanziari o sanitari. Gli aggressori possono rubare o modificare tali dati scarsamente protetti per condurre frodi con carte di credito, furti di identità o altri crimini.
La protezione del dato è intesa sia quando è a riposo, ad esempio all'interno di un db, che in movimento (quando viene trasmesso).
Un'applicazione che soffre di questa vulnerabilità potrebbe utilizzare protocolli di scambio non criptati come HTTP al posto di HTTPS, salvare dati sensibili in chiaro sul db, utilizzare meccanismi di crittografia deboli, oppure non applicare policy tali da proteggere i dati.
Un classico scenario è quello di un'applicazione che cripta i numeri di carta di credito quando li memorizza nel db. Tuttavia, questi dati vengono decrittografati automaticamente quando vengono recuperati, consentendo ad esempio, se vulnerabile ad una sql injection di recuperare i numeri di carta di credito in chiaro.
Certo che quest'ultima applicazione è stata proprio sviluppata con i piedi! ;-)