search

2 :Cryptographic Failures

El primer paso para garantizar la seguridad de los datos es identificar las necesidades de protección, tanto en tránsito como en reposo. Esto incluye datos sensibles como contraseñas, números de tarjetas de crédito y registros de salud. Se deben seguir protocolos seguros y actualizar algoritmos criptográficos para cumplir con regulaciones como el GDPR y el PCI DSS.

Ejemplos de escenarios de ataque incluyen fallas en la implementación del cifrado de base de datos, falta de uso de TLS, y almacenamiento inseguro de contraseñas que podrían exponer datos sensibles a ataques como inyecciones SQL o robo de sesiones.

hashtag
Lista de Mapeados CWEs

CWE-261 Weak Encoding for Passwordarrow-up-right

CWE-296 Improper Following of a Certificate's Chain of Trustarrow-up-right

CWE-310 Cryptographic Issuesarrow-up-right

CWE-319 Cleartext Transmission of Sensitive Informationarrow-up-right

CWE-321 Use of Hard-coded Cryptographic Keyarrow-up-right

CWE-322 Key Exchange without Entity Authenticationarrow-up-right

CWE-323 Reusing a Nonce, Key Pair in Encryptionarrow-up-right

CWE-324 Use of a Key Past its Expiration Datearrow-up-right

CWE-325 Missing Required Cryptographic Steparrow-up-right

CWE-326 Inadequate Encryption Strengtharrow-up-right

CWE-327 Use of a Broken or Risky Cryptographic Algorithmarrow-up-right

CWE-328 Reversible One-Way Hasharrow-up-right

CWE-329 Not Using a Random IV with CBC Modearrow-up-right

CWE-330 Use of Insufficiently Random Valuesarrow-up-right

CWE-331 Insufficient Entropyarrow-up-right

CWE-335 Incorrect Usage of Seeds in Pseudo-Random Number Generator(PRNG)arrow-up-right

CWE-336 Same Seed in Pseudo-Random Number Generator (PRNG)arrow-up-right

CWE-337 Predictable Seed in Pseudo-Random Number Generator (PRNG)arrow-up-right

CWE-338 Use of Cryptographically Weak Pseudo-Random Number Generator(PRNG)arrow-up-right

CWE-340 Generation of Predictable Numbers or Identifiersarrow-up-right

CWE-347 Improper Verification of Cryptographic Signaturearrow-up-right

CWE-523 Unprotected Transport of Credentialsarrow-up-right

CWE-720 OWASP Top Ten 2007 Category A9 - Insecure Communicationsarrow-up-right

CWE-757 Selection of Less-Secure Algorithm During Negotiation('Algorithm Downgrade')arrow-up-right

CWE-759 Use of a One-Way Hash without a Saltarrow-up-right

CWE-760 Use of a One-Way Hash with a Predictable Saltarrow-up-right

CWE-780 Use of RSA Algorithm without OAEParrow-up-right

CWE-818 Insufficient Transport Layer Protectionarrow-up-right

CWE-916 Use of Password Hash With Insufficient Computational Effortarrow-up-right

Recursos

LogoA02 Cryptographic Failures - OWASP Top 10:2021owasp.orgchevron-right
myF5my.f5.comchevron-right
Anterior1 :Broken access controlSiguiente3 :Inyección

Última actualización