Secret information transmitted over the network
Información secreta transmitida por la red
Descripción
Se ha detectado que la aplicación transmite credenciales secretas, como claves SSH, certificados privados o claves de API privadas a través de la red.
Los secretos se pueden dividir en dos categorías con diferentes perfiles de riesgo:
-
Sobrefacturación: afecta a las claves de API que otorgan acceso a servicios como Google Maps y se facturan por la cantidad de solicitudes. Los atacantes recopilarán las claves para acceder al servicio sin pagar mientras el objetivo paga por el servicio.
-
Acceso no autorizado: afecta a las claves, secretos y tokens que otorgan acceso a servicios como los buckets de S3. Si el servicio está mal configurado, los atacantes pueden acceder a datos no autorizados o elevar sus privilegios a través de otros servicios.
Recomendación
Para mitigar los riesgos asociados con los secretos codificados en el código (hard-coded) o filtrados, considere lo siguiente:
- Adoptar tokenización o mecanismos de autenticación: En lugar de transmitir credenciales sin procesar, considere implementar tokenización o mecanismos de autenticación como OAuth o JWT (JSON Web Tokens) para acceder a las API. Esto reduce el riesgo de exponer credenciales confidenciales durante la transmisión.
- Implementar protocolos de transmisión seguros: Asegúrese de que todas las comunicaciones que transmiten credenciales confidenciales estén cifradas mediante protocolos seguros como TLS (Transport Layer Security) para evitar la interceptación y el espionaje de credenciales durante la transmisión.
- Rotar credenciales periódicamente: Implemente una política de rotación de credenciales para rotar periódicamente las claves de API, los tokens y otras credenciales confidenciales. Esto minimiza la ventana de oportunidad para los atacantes que puedan haber interceptado credenciales durante la transmisión.
Enlaces
Estándares
- PCI_STANDARDS:
- REQ_1_2
- HIPAA_CONTROLS:
- SECURITY252
- SECURITY212
- SECURITY213