RGB_00003.005 - AppSec Flow: Vulnerabilidade - Armazenamento Criptográfico Inseguro

[conviso-platform-appsec-staging]

ID: RGB_00003.005

Categoria: CWE-310: Cryptographic Issues

Reportado por: Rodrigo Reginato

Projeto: reginato/school-system-test

Criticidade:

Impacto: Alto

Probabilidade: Baixo

Criticidade: Médio

Padrões: [2010] A7 – Insecure Cryptographic Storage, CWE-311 Missing Encryption of Sensitive Data

Descrição: As aplicação armazena dados sensíveis sem a devida codificação de segurança necessária para garantir a confidencialidade de tais informações. Essas informações podem varias desde dados de cartões de crédito até senhas de acesso. No caso de comprometimento do meio de armazenamento de tais dados (através de uma outra vulnerabilidade, por exemplo) tais informações confidenciais ficariam em total exposição ao atacante.

Descrição do Impacto: Aguardando preenchimento

Solução: Utilizar mecanismos apropriados para cifrar os dados antes do armazenamento, como algoritmos de criptografia atualizados, chaves fortes, como também funções de hashing e salt.

Referência: https://www.owasp.org/index.php/Top_10_2010-A7-Insecure_Cryptographic_Storage
http://bretthard.in/2009/09/insecure-cryptographic-storage/
http://www.infosecisland.com/blogview/21796-Insecure-Cryptographic-Storage-Explained.html
http://www.troyhunt.com/2011/06/owasp-top-10-for-net-developers-part-7.html

Tipo de falha:

**Código:**teste

**Entrada de dados:**teste

**Saída de dados:**teste

Defect Tracker: https://app.conviso.com.br/scopes/193/projects/2186