Credentials exposed in logs

Credenciales expuestas en los registros

Riesgo: medium

Descripción

Si bien el registro de toda la información puede ser útil durante las etapas de desarrollo, es importante que los niveles de registro se configuren adecuadamente antes de que se envíe un producto para que los datos confidenciales del usuario y la información del sistema no se expongan accidentalmente a posibles atacantes.

Recomendación

Para evitar la fuga de credenciales en los registros de la aplicación, considere lo siguiente:

• Asegúrese de que su marco o sistema de registro no incluya información confidencial, como contraseñas o claves API, en los registros. Revise su código en busca de cualquier dato confidencial que se esté registrando.
• Configure los niveles de registro en "debug" para evitar que se registre información confidencial en la aplicación de producción.
• Elimine los archivos de registro de depuración antes de implementar la aplicación en producción.
• Ajuste las configuraciones adecuadamente cuando el software pase de un estado de depuración a producción.
• Elimine cualquier credencial de prueba o credencial codificada (hardcoded) antes de implementar la aplicación.

Enlaces

• CWE-200: Information Exposure
• CWE-359: Exposure of Private Information ("Privacy Violation")
• DRD04-J. Do not log sensitive information
• ERR02-J. Prevent exceptions while logging data
• Métodos de registro ( Log sparingly )

Estándares

• OWASP_MASVS_L1:
  • MSTG_STORAGE_3
• OWASP_MASVS_L2:
  • MSTG_STORAGE_3
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_3_2
  • REQ_3_3
  • REQ_6_2
  • REQ_10_3
• OWASP_MASVS_v2_1:
  • MASVS_STORAGE_2
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5