DSS - OWASP TOP 10 > A02:2021 – Fallas Criptográficas > Flashcards

A02:2021 – Fallas Criptográficas Flashcards

(8 cards)

Study These Flashcards
1
Q

A que suele conducir las fallas relacionadas a la criptografia?

A

A menudo conducen a la exposición de datos sensibles

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Cuales son las CWE incluidas en la vulnerabilidad de fallas criptograficas?

A
  • CWE-259: Uso de contraseña en código fuente
  • CWE-327: Algoritmo criptográfico vulnerado o inseguro
  • CWE-331: Entropía insuficiente.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Que es lo primero que hay que hacer en lo que refiere a la vulnerabilidad de fallas criptograficas?

A

Lo primero es determinar las necesidades de protección de los datos en tránsito y en reposo. Por ejemplo, contraseñas, números de tarjetas de crédito, registros médicos, información personal y secretos comerciales requieren protección adicional, principalmente si están sujetos a leyes de privacidad o regulaciones.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Como se previena la vulnerabilidad de fallas criptograficas?

A
  • Clasifique los datos procesados, almacenados o transmitidos por una aplicación. Identifique qué datos son confidenciales de acuerdo con las leyes de privacidad, los requisitos reglamentarios o las necesidades comerciales.
  • No almacene datos sensibles innecesariamente. Descártelos lo antes posible o utilice una utilización de tokens compatible con PCI DSS o incluso el truncamiento. Los datos que no se conservan no se pueden robar.
  • Asegúrese de cifrar todos los datos sensibles en reposo (almacenamiento).
  • Garantice la implementación de algoritmos, protocolos y claves que utilicen estándares sólidos y actualizados; utilice una gestión de claves adecuada.
  • Cifre todos los datos en tránsito con protocolos seguros como TLS con cifradores de confidencialidad adelantada (forward secrecy, o FS), priorización de cifradores por parte del servidor y parámetros seguros. Aplique el cifrado mediante directivas como HTTP Strict Transport Security (HSTS).
  • Deshabilite el almacenamiento en caché para respuestas que contengan datos sensibles.
  • Aplique los controles de seguridad requeridos según la clasificación de los datos.
  • No utilice protocolos antiguos como FTP y SMTP para transportar datos sensibles.
  • Almacene las contraseñas utilizando funciones robustas, flexibles, que utilicen sal en los hashes y use un factor de retraso (factor de trabajo), como Argon2, scrypt, bcrypt o PBKDF2.
  • Elija vectores de inicialización apropiados para el modo de operación. Para muchos modos, esto significa usar un CSPRNG (generador de números pseudoaleatorios criptográficamente seguro). Para los modos que requieren un nonce, el vector de inicialización (IV) no necesita un CSPRNG. En todos los casos, el IV nunca debe usarse dos veces para una clave fija.
  • Utilice siempre cifrado autenticado en lugar de solo cifrado.
  • Las claves deben generarse criptográficamente al azar y almacenarse en la memoria como arrays de bytes. Si se utiliza una contraseña, debe convertirse en una clave mediante una función adecuada de derivación de claves basada en contraseña.
  • Asegúrese de que se utilice la aleatoriedad criptográfica cuando sea apropiado y que no se utilice una semilla de una manera predecible o con baja entropía. La mayoría de las API modernas no requieren que el desarrollador genere el CSPRNG para obtener seguridad.
  • Evite las funciones criptográficas y los esquemas de relleno(padding) en desuso, como MD5, SHA1, PKCS número 1 v1.5.
  • Verifique de forma independiente la efectividad de la configuración y los ajustes.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Diga a que vulnerabilidad pertenece el siguiente escenario:

Una aplicación cifra los números de tarjetas de crédito en una base de datos mediante el cifrado automático de la base de datos. Sin embargo, estos datos se descifran automáticamente cuando se recuperan, lo que permite que por una falla de inyección SQL se recuperen números de tarjetas de crédito en texto sin cifrar.

A

Fallas Criptograficas

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Diga a que vulnerabilidad pertenece el siguiente escenario:

Un sitio no utiliza ni aplica TLS para todas sus páginas o admite un cifrado débil. Un atacante monitorea el tráfico de la red (por ejemplo, en una red inalámbrica insegura), degrada las conexiones de HTTPS a HTTP, intercepta solicitudes y roba la cookie de sesión del usuario. El atacante luego reutiliza esta cookie y secuestra la sesión (autenticada) del usuario, accediendo o modificando los datos privados del usuario. En lugar de lo anterior, podrían alterar todos los datos transportados, por ejemplo, el destinatario de una transferencia de dinero.

A

Fallas Criptograficas

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Diga a que vulnerabilidad pertenece el siguiente escenario:

La base de datos de contraseñas utiliza hashes simples o sin un valor inicial aleatorio único(salt) para almacenar todas las contraseñas. Una falla en la carga de archivos permite a un atacante recuperar la base de datos de contraseñas. Todos los hashes sin salt se pueden calcular a partir de una rainbow table de hashes pre calculados. Los hash generados por funciones hash simples o rápidas pueden ser descifrados a través de cálculos intensivos provistos por una o mas GPUs, incluso si utilizan un salt.

A

Fallas Criptograficas

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Cual es el top de la vulnerabilidad de Fallas criptograficas?

A

2

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
DSS - OWASP TOP 10
flashcards
Decks in class (10)
# Cards
Brainscape helps you reach your goals faster, through stronger study habits.
© 2026 Bold Learning Solutions. Terms and Conditions