This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Germany/Projekte/Top 10 fuer Entwickler-2013/A6-Verlust der Vertraulichkeit sensibler Daten
← Top_10_fuer_Entwickler/A5_Cross-Site Request Forgery (CSRF) | Top_10_fuer_Entwickler/A7 Kryptografisch unsichere Speicherung → |
Seite in Bearbeitung (BAUSTELLE!!)
A1 Injection (Befehle einschleusen)
______ | Ausnutzbarkeit SCHWIERIG |
Verbreitung SELTEN |
Auffindbarkeit SCHWIERIG |
Auswirkung SCHWERWIEGEND |
Application / Business Specific |
Jeder Benutzer des Systems ist zu betrachten.
Haben diese ein Interesse, auf geschützte Daten unberechtigt zuzugreifen? Wie steht es um Administratoren? |
Angreifer brechen üblicherweise nicht die eigentliche Kryptografie. Statt dessen finden Sie Schlüssel, Klartexte oder greifen über Kanäle mit automatischer Entschlüsselung auf Daten zu. | Fehlende Verschlüsselung vertraulicher Daten ist die häufigste Schwachstelle, gefolgt von unsicherer Schlüsselerzeugung, der Speicherung statischer Schlüssel und die Nutzung schwacher Algorithmen. Schwache Hashwerte ohne Salt kommen zum Passwortschutz oft vor. Ein ein-geschränkter Zugriff lässt externe Angreifer solche Probleme i.d.R. nicht leicht ent-decken. Den nötigen Zugriff müssen sie vorher auf andere Weise erlangen. | Fehler kompromittieren regelmäßig vertrauliche Daten. Es handelt sich hierbei oft um sensitive Daten wie personenbezogene Daten, Benutzernamen und Passwörter oder Kreditkarteninformationen. | Betrachten Sie den Wert verlorener Daten und die Auswirkungen auf die Reputation des betroffenen Unternehmens. Hat es ggf. auch juristische Konsequenzen, wenn die Daten bekannt werden? |
Am I Vulnerable To 'Insecure Cryptographic Storage'?
Szenario 1: Eine Anwendung speichert verschlüsselt Kreditkartendaten in einer Datenbank, um Sie vor Angreifern zu schützen. Die Datenbank ist so eingerichtet, dass die Daten beim Auslesen automatisch entschlüsselt werden. Durch SQL-Injection können in diesem Fall alle Kreditkartendaten im Klartext ausgelesen werden. Das System hätte so konfiguriert sein sollen, dass nur nachgelagerte Anwendungen und nicht die Webanwendung selbst entschlüsseln dürfen. |
How Do I Prevent 'Insecure Cryptographic Storage'?
Eine Übersicht über alle Tücken unsicherer Kryptografie liegt weit außerhalb des Rahmens der Top 10. Für alle vertrau-lichen Daten sollten Sie zumindest:
|
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Tbd
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Tbd
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
Tbd
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
OWASP
Einen umfangreicheren Überblick über die Anforderungen und die hierbei zu vermeidenden Probleme gibt es unter ASVS requirements on Cryptography (V7). Des Weiteren:
- OWASP Top 10-2007 on Insecure Cryptographic Storage
- ESAPI Encryptor API
- OWASP Development Guide: Chapter on Cryptography
- OWASP Code Review Guide: Chapter on Cryptography
External
- CWE Entry 310 on Cryptographic Issues
- CWE Entry 312 on Cleartext Storage of Sensitive Information
- CWE Entry 326 on Weak Encryption
</td></tr></table>
![CC-by-sa-3 0-88x31.png](/images/6/64/CC-by-sa-3_0-88x31.png)
</td></tr></table>
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
</td> <td style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
tbd Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
(ganze Breite) Text
style="vertical-align: top; padding:5px; width: 50%; border: 3px solid
- 4F81BD;
background-color:
- F2F2F2;">
</td></tr></table>
← Top_10_fuer_Entwickler/A5_Cross-Site Request Forgery (CSRF) | Top_10_fuer_Entwickler/A7 Kryptografisch unsichere Speicherung → |
![CC-by-sa-3 0-88x31.png](/images/6/64/CC-by-sa-3_0-88x31.png)