Sensitive Data in HTML

• Categoría:

• DataProtection

• Referencia:

• OWASP-DP001

Descripcion:

Esta prueba busca identificar datos sensibles que puedan estar incrustados en el código HTML de una aplicación web. Esto incluye contraseñas, claves API, datos personales o información confidencial que podría ser visible en el navegador del usuario o accesible mediante herramientas de análisis de código.

Herramientas recomendadas:

• Burp Suite

Recomendaciones para realizar la prueba:

Los atacantes pueden analizar el código fuente de una página web o interceptar respuestas HTTP para encontrar datos sensibles incrustados en el HTML. Estos datos podrían ser utilizados para obtener acceso no autorizado, manipular la aplicación o lanzar otros tipos de ataques, como el robo de identidad o la explotación de credenciales. Se recomienda configurar Burp Suite para interceptar las solicitudes y respuestas HTTP, inspeccionar el código HTML de las respuestas en busca de información sensible y corregir cualquier problema identificado eliminando datos sensibles del HTML.

Evita incrustar información sensible directamente en el HTML o en los atributos de los elementos. En lugar de ello, utiliza mecanismos como API seguras que no expongan información en el cliente. Además, aplica cifrado a los datos sensibles transmitidos y almacenados, y usa controles de acceso para evitar que usuarios no autorizados accedan al contenido. Realiza auditorías periódicas del código HTML para asegurarte de que no contiene información confidencial.