程序员征服安全 OWASP 十大 API 系列-数据泄露过多
过度数据泄露漏洞与OWASP清单上的其他API问题不同,因为它涉及一种非常特殊的数据。漏洞背后的实际机制与其他漏洞相似,但在这种情况下,过度数据泄露被定义为涉及受法律保护或高度敏感的数据。这可能包括任何个人身份信息,通常被称为 PII。或者它可能涉及支付卡行业信息或PCI。最后,过度的数据泄露可能包括受隐私法约束的任何信息,例如欧洲的《通用数据保护条例》(GDPR)或美国的《健康保险流通与责任法案》(HIPAA)。
正如你可能想象的那样,这令人深感担忧,精明的开发人员必须学会如何尽可能地消除这些错误。如果你已经准备好对抗数据暴露巨龙,那就去参加我们的游戏化挑战赛吧:
你的分数是多少?继续阅读并了解更多:
有哪些过度数据泄露的例子?
发生过度数据泄露的主要原因之一是开发人员和程序员对他们的应用程序将使用的数据类型没有足够的洞察力。因此,开发人员倾向于使用通用流程,将所有对象属性暴露给最终用户。
开发人员有时还会假设前端组件会在向用户显示任何信息之前执行数据过滤。对于大多数通用数据来说,这很少成为问题。但是,例如,将受法律保护或敏感的数据作为会话ID的一部分暴露给用户,从安全和法律的角度来看,可能会导致重大问题。
OWASP报告设想了一个场景,即保安人员有权访问设施中基于物联网的特定摄像机,以此举例说明敏感数据很容易被意外共享。也许这些摄像机正在监视封闭和安全的区域,而其他监视人员的摄像机本应仅限于具有更高权限的警卫或监督人员。
为了向警卫提供访问授权摄像机的权限,开发人员可以使用如下所示的 API 调用。
/api/sites/111/相机
作为回应,该应用程序将以以下格式发送警卫能够看到的摄像机的详细信息:
{“id”: “xxx”,“live_access_token”: “xxxxbbbb”,“building_id”: “yyy”}
从表面上看,这似乎效果很好。警卫在应用程序上使用图形用户界面,只能看到他们有权查看的摄像机画面。问题在于,由于使用的通用代码,实际的API响应将包含整个设施中所有摄像机的完整列表。任何在网络中窃取数据或泄露警卫账户的人都能够发现网络中每台摄像机的位置和命名法。然后,他们可以不受限制地访问这些数据。
消除过多的数据泄露
防止过度数据泄露的最大关键是了解数据及其周围的保护措施。创建通用 API 并让客户端在向用户显示数据之前对数据进行排序是一个危险的选择,它会导致许多可预防的安全漏洞。
除了了解相关的数据保护外,停止使用通用 API 向用户发送所有内容的过程也很重要。例如,必须避免使用诸如 to_json () 和 to_string () 之类的代码。取而代之的是,该代码应专门选择需要归还给授权用户的属性,并专门发送这些信息。
为了确保没有意外过度共享受保护的数据,组织应考虑实施基于架构的响应验证机制作为额外的安全层。它应该定义和强制所有API方法返回的数据,包括错误报告规则。
最后,所有归类为包含 PII 或 PCI 的数据,或受 GDPR 或 HIPAA 等法规保护的信息,都应使用高度加密进行保护。这样,即使这些数据的位置作为过度数据泄露漏洞的一部分泄露了,也有一道良好的次要防线,即使数据落入恶意用户或威胁行为者手中,也应该保护数据。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
过度数据泄露漏洞与OWASP清单上的其他API问题不同,因为它涉及一种非常特殊的数据。漏洞背后的实际机制与其他漏洞相似,但在这种情况下,过度数据泄露被定义为涉及受法律保护或高度敏感的数据。这可能包括任何个人身份信息,通常被称为 PII。或者它可能涉及支付卡行业信息或PCI。最后,过度的数据泄露可能包括受隐私法约束的任何信息,例如欧洲的《通用数据保护条例》(GDPR)或美国的《健康保险流通与责任法案》(HIPAA)。
正如你可能想象的那样,这令人深感担忧,精明的开发人员必须学会如何尽可能地消除这些错误。如果你已经准备好对抗数据暴露巨龙,那就去参加我们的游戏化挑战赛吧:
你的分数是多少?继续阅读并了解更多:
有哪些过度数据泄露的例子?
发生过度数据泄露的主要原因之一是开发人员和程序员对他们的应用程序将使用的数据类型没有足够的洞察力。因此,开发人员倾向于使用通用流程,将所有对象属性暴露给最终用户。
开发人员有时还会假设前端组件会在向用户显示任何信息之前执行数据过滤。对于大多数通用数据来说,这很少成为问题。但是,例如,将受法律保护或敏感的数据作为会话ID的一部分暴露给用户,从安全和法律的角度来看,可能会导致重大问题。
OWASP报告设想了一个场景,即保安人员有权访问设施中基于物联网的特定摄像机,以此举例说明敏感数据很容易被意外共享。也许这些摄像机正在监视封闭和安全的区域,而其他监视人员的摄像机本应仅限于具有更高权限的警卫或监督人员。
为了向警卫提供访问授权摄像机的权限,开发人员可以使用如下所示的 API 调用。
/api/sites/111/相机
作为回应,该应用程序将以以下格式发送警卫能够看到的摄像机的详细信息:
{“id”: “xxx”,“live_access_token”: “xxxxbbbb”,“building_id”: “yyy”}
从表面上看,这似乎效果很好。警卫在应用程序上使用图形用户界面,只能看到他们有权查看的摄像机画面。问题在于,由于使用的通用代码,实际的API响应将包含整个设施中所有摄像机的完整列表。任何在网络中窃取数据或泄露警卫账户的人都能够发现网络中每台摄像机的位置和命名法。然后,他们可以不受限制地访问这些数据。
消除过多的数据泄露
防止过度数据泄露的最大关键是了解数据及其周围的保护措施。创建通用 API 并让客户端在向用户显示数据之前对数据进行排序是一个危险的选择,它会导致许多可预防的安全漏洞。
除了了解相关的数据保护外,停止使用通用 API 向用户发送所有内容的过程也很重要。例如,必须避免使用诸如 to_json () 和 to_string () 之类的代码。取而代之的是,该代码应专门选择需要归还给授权用户的属性,并专门发送这些信息。
为了确保没有意外过度共享受保护的数据,组织应考虑实施基于架构的响应验证机制作为额外的安全层。它应该定义和强制所有API方法返回的数据,包括错误报告规则。
最后,所有归类为包含 PII 或 PCI 的数据,或受 GDPR 或 HIPAA 等法规保护的信息,都应使用高度加密进行保护。这样,即使这些数据的位置作为过度数据泄露漏洞的一部分泄露了,也有一道良好的次要防线,即使数据落入恶意用户或威胁行为者手中,也应该保护数据。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
过度数据泄露漏洞与OWASP清单上的其他API问题不同,因为它涉及一种非常特殊的数据。漏洞背后的实际机制与其他漏洞相似,但在这种情况下,过度数据泄露被定义为涉及受法律保护或高度敏感的数据。这可能包括任何个人身份信息,通常被称为 PII。或者它可能涉及支付卡行业信息或PCI。最后,过度的数据泄露可能包括受隐私法约束的任何信息,例如欧洲的《通用数据保护条例》(GDPR)或美国的《健康保险流通与责任法案》(HIPAA)。
正如你可能想象的那样,这令人深感担忧,精明的开发人员必须学会如何尽可能地消除这些错误。如果你已经准备好对抗数据暴露巨龙,那就去参加我们的游戏化挑战赛吧:
你的分数是多少?继续阅读并了解更多:
有哪些过度数据泄露的例子?
发生过度数据泄露的主要原因之一是开发人员和程序员对他们的应用程序将使用的数据类型没有足够的洞察力。因此,开发人员倾向于使用通用流程,将所有对象属性暴露给最终用户。
开发人员有时还会假设前端组件会在向用户显示任何信息之前执行数据过滤。对于大多数通用数据来说,这很少成为问题。但是,例如,将受法律保护或敏感的数据作为会话ID的一部分暴露给用户,从安全和法律的角度来看,可能会导致重大问题。
OWASP报告设想了一个场景,即保安人员有权访问设施中基于物联网的特定摄像机,以此举例说明敏感数据很容易被意外共享。也许这些摄像机正在监视封闭和安全的区域,而其他监视人员的摄像机本应仅限于具有更高权限的警卫或监督人员。
为了向警卫提供访问授权摄像机的权限,开发人员可以使用如下所示的 API 调用。
/api/sites/111/相机
作为回应,该应用程序将以以下格式发送警卫能够看到的摄像机的详细信息:
{“id”: “xxx”,“live_access_token”: “xxxxbbbb”,“building_id”: “yyy”}
从表面上看,这似乎效果很好。警卫在应用程序上使用图形用户界面,只能看到他们有权查看的摄像机画面。问题在于,由于使用的通用代码,实际的API响应将包含整个设施中所有摄像机的完整列表。任何在网络中窃取数据或泄露警卫账户的人都能够发现网络中每台摄像机的位置和命名法。然后,他们可以不受限制地访问这些数据。
消除过多的数据泄露
防止过度数据泄露的最大关键是了解数据及其周围的保护措施。创建通用 API 并让客户端在向用户显示数据之前对数据进行排序是一个危险的选择,它会导致许多可预防的安全漏洞。
除了了解相关的数据保护外,停止使用通用 API 向用户发送所有内容的过程也很重要。例如,必须避免使用诸如 to_json () 和 to_string () 之类的代码。取而代之的是,该代码应专门选择需要归还给授权用户的属性,并专门发送这些信息。
为了确保没有意外过度共享受保护的数据,组织应考虑实施基于架构的响应验证机制作为额外的安全层。它应该定义和强制所有API方法返回的数据,包括错误报告规则。
最后,所有归类为包含 PII 或 PCI 的数据,或受 GDPR 或 HIPAA 等法规保护的信息,都应使用高度加密进行保护。这样,即使这些数据的位置作为过度数据泄露漏洞的一部分泄露了,也有一道良好的次要防线,即使数据落入恶意用户或威胁行为者手中,也应该保护数据。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
过度数据泄露漏洞与OWASP清单上的其他API问题不同,因为它涉及一种非常特殊的数据。漏洞背后的实际机制与其他漏洞相似,但在这种情况下,过度数据泄露被定义为涉及受法律保护或高度敏感的数据。这可能包括任何个人身份信息,通常被称为 PII。或者它可能涉及支付卡行业信息或PCI。最后,过度的数据泄露可能包括受隐私法约束的任何信息,例如欧洲的《通用数据保护条例》(GDPR)或美国的《健康保险流通与责任法案》(HIPAA)。
正如你可能想象的那样,这令人深感担忧,精明的开发人员必须学会如何尽可能地消除这些错误。如果你已经准备好对抗数据暴露巨龙,那就去参加我们的游戏化挑战赛吧:
你的分数是多少?继续阅读并了解更多:
有哪些过度数据泄露的例子?
发生过度数据泄露的主要原因之一是开发人员和程序员对他们的应用程序将使用的数据类型没有足够的洞察力。因此,开发人员倾向于使用通用流程,将所有对象属性暴露给最终用户。
开发人员有时还会假设前端组件会在向用户显示任何信息之前执行数据过滤。对于大多数通用数据来说,这很少成为问题。但是,例如,将受法律保护或敏感的数据作为会话ID的一部分暴露给用户,从安全和法律的角度来看,可能会导致重大问题。
OWASP报告设想了一个场景,即保安人员有权访问设施中基于物联网的特定摄像机,以此举例说明敏感数据很容易被意外共享。也许这些摄像机正在监视封闭和安全的区域,而其他监视人员的摄像机本应仅限于具有更高权限的警卫或监督人员。
为了向警卫提供访问授权摄像机的权限,开发人员可以使用如下所示的 API 调用。
/api/sites/111/相机
作为回应,该应用程序将以以下格式发送警卫能够看到的摄像机的详细信息:
{“id”: “xxx”,“live_access_token”: “xxxxbbbb”,“building_id”: “yyy”}
从表面上看,这似乎效果很好。警卫在应用程序上使用图形用户界面,只能看到他们有权查看的摄像机画面。问题在于,由于使用的通用代码,实际的API响应将包含整个设施中所有摄像机的完整列表。任何在网络中窃取数据或泄露警卫账户的人都能够发现网络中每台摄像机的位置和命名法。然后,他们可以不受限制地访问这些数据。
消除过多的数据泄露
防止过度数据泄露的最大关键是了解数据及其周围的保护措施。创建通用 API 并让客户端在向用户显示数据之前对数据进行排序是一个危险的选择,它会导致许多可预防的安全漏洞。
除了了解相关的数据保护外,停止使用通用 API 向用户发送所有内容的过程也很重要。例如,必须避免使用诸如 to_json () 和 to_string () 之类的代码。取而代之的是,该代码应专门选择需要归还给授权用户的属性,并专门发送这些信息。
为了确保没有意外过度共享受保护的数据,组织应考虑实施基于架构的响应验证机制作为额外的安全层。它应该定义和强制所有API方法返回的数据,包括错误报告规则。
最后,所有归类为包含 PII 或 PCI 的数据,或受 GDPR 或 HIPAA 等法规保护的信息,都应使用高度加密进行保护。这样,即使这些数据的位置作为过度数据泄露漏洞的一部分泄露了,也有一道良好的次要防线,即使数据落入恶意用户或威胁行为者手中,也应该保护数据。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试演示 Secure Code Warrior 培训平台可让您的所有网络安全技能不断磨练并保持最新状态。
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
