Az OWASP Top 10 kiadvány a webes alkalmazásokban előforduló leggyakoribb sérülékenységek gyűjteménye. A következő bejegyzés sorozatban bemutatjuk ezeket a hibákat és a bennük rejlő kockázatokat.
A sérülékenység háttere
Az alkalmazás nem megfelelően titkosítja a szenzitív adatokat. A titkosítatlanul, úgynevezett “cleartext” formában tárolt jelszavak és a gyenge algoritmussal hashel-t felhasználói információk könnyen illetéktelenek birtokába juthatnak, akik visszaélhetnek ezzel.
Kockázat
A nem megfelelően titkosított adatok szivárgása súlyos következményekkel jár egy vállalat számára. Nyilvánosságra kerülhetnek személyes és egészségügyi adatok, felhasználónevek és jelszavak, hitelkártya adatok, melyek biztonságos tárolását többek között a GDPR is előírja. Egy hasonló adatszivárgás súlyos pénzügyi veszteséggel járhat, valamint a vállalat jó hírnevét is csorbítja.
Tesztelés
Az ilyen jellegű sérülékenységek könnyen felismerhetőek manuális sérülékenység vizsgálat segítségével.
Ellenőrizni kell az alkalmazás által tárolt adatok titkosítását (különösen a személyes adatokét, amelyeket a GDPR szabályoz), hogy megfelel-e az aktuális kriptográfiai sztenderdeknek.
Megelőzés
Az adatátvitel során kerülni kell a titkosítatlan protokollok használatát, mint példálul HTTP, SMTP, FTP.
Szenzitív adatokat csak biztonságosan, hash-elt formában szabad tárolni.
Érdmes implementálni a TLS 1.3 -at, amennyiben lehetséges.