Test de sécurité - Exposition des données sensibles

Les applications en ligne continuant d'inonder Internet de jour en jour, toutes les applications ne sont pas sécurisées. De nombreuses applications Web ne protègent pas correctement les données utilisateur sensibles telles que les informations de carte de crédit / les informations de compte bancaire / les informations d'authentification. Les pirates informatiques pourraient finir par voler ces données faiblement protégées pour commettre une fraude par carte de crédit, un vol d'identité ou d'autres crimes.

Comprenons les agents de menace, les vecteurs d'attaque, la faiblesse de la sécurité, l'impact technique et les impacts commerciaux de cette faille à l'aide d'un diagramme simple.

Exemple

Certains des exemples classiques de mauvaise configuration de la sécurité sont comme donnés -

  • Un site n'utilise tout simplement pas SSL pour toutes les pages authentifiées. Cela permet à un attaquant de surveiller le trafic réseau et de voler le cookie de session de l'utilisateur pour détourner la session des utilisateurs ou accéder à leurs données privées.

  • Une application stocke les numéros de carte de crédit dans un format crypté dans une base de données. Lors de la récupération, ils sont décryptés, ce qui permet au pirate d'effectuer une attaque par injection SQL pour récupérer toutes les informations sensibles dans un texte clair. Cela peut être évité en chiffrant les numéros de carte de crédit à l'aide d'une clé publique et en autorisant les applications back-end à les déchiffrer avec la clé privée.

Mains allumées

Step 1- Lancez WebGoat et accédez à la section "Stockage non sécurisé". Un instantané de la même chose est affiché ci-dessous.

Step 2- Entrez le nom d'utilisateur et le mot de passe. Il est temps d'apprendre les différents types de méthodologies d'encodage et de cryptage dont nous avons parlé précédemment.

Mécanismes préventifs

  • Il est conseillé de ne pas stocker inutilement des données sensibles et doit être gratté dès que possible si cela n'est plus nécessaire.

  • Il est important de nous assurer que nous incorporons des algorithmes de chiffrement solides et standard et qu'une gestion des clés appropriée est en place.

  • Cela peut également être évité en désactivant la saisie semi-automatique sur les formulaires qui collectent des données sensibles telles que le mot de passe et en désactivant la mise en cache pour les pages contenant des données sensibles.