• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina
Glue Labs

Glue Labs

Trasformiamo le tue idee in prodotti digitali di successo!

  • HOME
  • SOLUZIONI
  • NEWS
  • PRODOTTI
  • CONTATTI
  • CASE STUDY

Sensitive-Excessive Data Exposure nelle API e nelle Web Application: come difendersi

Proteggi i dati dagli errori di configurazione, implementazione e deploy. Metti al sicuro i dati sensibili

Abbiamo già parlato dei rischi e delle minacce cui vanno incontro Web Application e API ed in particolare delle Injection, in questo articolo affronteremo il caso in cui vengono esposti dati sensibili senza rendersene conto. Il Garante della Privacy ha chiaramente le antenne puntate sull’argomento perchè spesso l’esposizione di dati sensibili vuol dire esporre dati personali e non ha risparmiato multe a chiunque avesse, anche inavvertitamente, esposto dati personali in maniera errata. Tra i dati sensibili occorre comunque considerare tutti quei dati aziendali e strategici che possono avere un grave impatto sull’azienda.

Cos’è l’attacco di tipo Sensitive-Excessive Data Exposure

Un’esposizione eccessiva di dati sensibili avviene sempre per colpa di chi realizza il software, l’hacker non fa altro che sfruttare la leggerezza dei progettisti e degli sviluppatori nella gestione dei dati per estrarre informazioni sensibili come: password, carte di credito, dati sanitari, segreti aziendali e qualsiasi informazione che abbia una qualche rivendibilità ed utilizzo.

E’ un problema molto grave(tanto che OWASP lo inserisce al 3° posto dei rischi delle API) ed anche molto comune perchè tanti progetti di sviluppo non passano alcuna validazione di sicurezza o alcun test specifico e gli errori di implementazione, configurazione, progettazione, sviluppo sono assolutamente umani, errare humanun est dicevano i latini ma seppur tale errore può generare comprensione per via dell’umana natura, in realtà per te e per la tua azienda si traduce in un gravissimo danno ed in un problema da gestire con immediatezza. In Glue Labs consapevoli che errare è umano e chiunque può commettere un errore, tutti i software passano da processi di Analisi Funzionale e Code Review da parte di persone terze rispetto allo sviluppo così da mitigare al massimo il rischio e riuscire anche a garantirti il software realizzato ben 12 mesi da qualsiasi bug.

Contattaci subito e senza impegno per scoprire se esponi dati sensibili a tua insaputa o per realizzare la tua Web Application garantita.

Come prevenire il Sensitive-Excessive Data Exposure

Per prevenire l’esposizione di informazioni sensibili:

  • classifica opportunamente i dati processati, archiviati e trasmessi dalle tue applicazioni;
  • identifica correttamente quali dati devono essere considerati sensibili in base alle norme, ai regolamenti o alle esigenze del tuo business;
  • applica gli opportuni controlli in base alla classificazione;
  • non archiviare dati sensibili se non sono necessari ed eliminali appena terminata l’esigenza;
  • utilizza tecniche come il tokenization del PCI DSS;
  • cifra tutti i dati sensibili;
  • assicurati di aver utilizzato gli algoritmi, i protocolli e le chiavi più aggiornate;
  • utilizza appropriati processi di key management e data retantion;
  • rafforza la cifratura dei dati durante la trasmissione tra applicazioni differenti e verso gli utilizzatori finali
  • disabilita la cache sui dati sensibili (scopri l’impatto di questo errore con gli esempi di INPS e dell’ esame di stato per avvocati)

oppure contattaci subito e senza impegno per un Security Test completo e verificare se esponi dati sensibili a tua insaputa.

Glue Labs e la Sicurezza delle Web Application e delle API

Grazie alle competenze maturate in tantissimi settori e con numerosi Clienti, al possesso di certificazioni internazionali dei più alti livelli ti forniamo assistenza e supporto tecnico per la protezione delle tue applicazioni, formazione avanzata, Penetration Test, Cyber Risk Assessment e molto altro. Contattaci subito e senza impegno per un preventivo gratuito.

Continua la lettura

  1. Come risolvere i 10 maggiori rischi di sicurezza delle Web Application ( OWASP Top 10)
  2. Gli 8 passi del ciclo di vita delle API
  3. Perchè avere una Data Governance

Categoria: Articoli Tags: API, API Security, cyber risk assessment, owasp, PCI DSS, Penetration Test, security code review, Security Test, web application

Barra laterale primaria

Cosa facciamo

  • Content Strategy
  • E-Commerce
  • Formazione avanzata Web, Mobile & Cloud
  • IoT – Sviluppo e Integrazione
  • Micro Live Learning(MLL) Web, Mobile & Cloud
  • Project Management Prince2
  • PushAPE
  • Sicurezza ICT
  • Software Aziendali
  • Sviluppo Mobile App
  • Sviluppo, Supporto, Assistenza Tecnica e Hosting Google Cloud
  • System Integration
  • Web Application
  • Web Design

Contatti

Scrivici dal form di contatto

Tel +39 06 56549766
Fax +39 06 21122581
Mail: info@glue-labs.com
Pec: gluelabs@legalmail.it

Dove siamo

Roma: Piazza Don Sturzo 15
Milano: Via Lazzaretto 19
Torino: Via San Domenico 28
Altamura: Via Maggio 1648 24

"*" indica i campi obbligatori

Nome*
Questo sito è protetto da reCAPTCHA e si applicano le Normative sulla Privacy e i Termini di Servizio di Google.
Inviando i tuoi dati accetti le condizioni sulla Privacy. Li useremo per rispondere alle tue domande e richieste.
Consenso*
*
Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

Siamo parte di

La nostra Agenzia di Marketing

Footer

Partnership



Rimaniamo in contatto

Iscriviti alla nostra newsletter

Nome
Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

Soluzioni

  • Supporto ed Integrazione di SPID e CIE con OpenID Connect
  • Consulenza e Assessment pre-formazione
  • Integrazione con le API di OpenAI e ChatGPT
  • Corso Cucumber per Javascript
  • Supporto ed Assistenza nell’implementazione ed utilizzo dei Kit di Designers Italia
  • Realizzazione di Tour Virtuali 3D
  • Conferenza/Seminario – Google Cloud Hands On
  • Corso Cacti
  • Backup-as-a-Service in Cloud: come archiviare i dati in maniera sicura ed affidabile
  • Corso Angular 14

Articoli

  • Software report del 2022 e trend per il 2023
  • Come gestire il backup di architetture complesse in maniera sicura ed efficiente
  • Perchè avere un Contact Center as a Service(CCaaS)
  • Come modernizzare applicazioni legacy
  • Cos’è Github Flow
  • Come avere una Data Quality Platform come Twitter
  • Cos’è la Dead letter queue e perchè è importante
  • Jinja: un template engine multiuso per Python
  • Cos’è l’Application Level Encryption(ALE): vantaggi e svantaggi
  • Backup e Disaster Recovery(DR) in un’unica piattaforma

Le nostre sedi

  • Roma, Piazza Don Sturzo 15
  • Milano, Via Lazzaretto 19
  • Torino, Via San Domenico 28
  • Altamura, Via Maggio 1648 24

Contatti

  • Tel. +39 06 87811067
  • Fax +39 06 99335373
  • glue-labs@legalmail.it
  • info@glue-labs.com
  • Facebook
  • LinkedIn
  • Twitter

Scarica app da App StoreScarica app da Play Store


Glue Labs © 2011–2023 | Copyright | Privacy Policy | Company Info | Cookie Policy | Gestione Cookies

Gestisci Consenso Cookie
Usiamo cookie per ottimizzare il nostro sito web ed i nostri servizi.
Funzionale Sempre attivo
La conservazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire la fruizione di uno specifico servizio esplicitamente richiesto dall'abbonato o dall'utente, o al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente a fini statistici anonimi. Senza un mandato di comparizione, il rispetto volontario da parte del tuo provider di servizi Internet o registrazioni aggiuntive da parte di terzi, le informazioni archiviate o recuperate solo per questo scopo non possono essere generalmente utilizzate per identificarti. The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
L'archiviazione tecnica o l'accesso è necessario per creare profili utente per inviare pubblicità o per tracciare l'utente su un sito Web o su più siti Web per scopi di marketing simili.
Gestisci opzioni Gestisci servizi Gestisci fornitori Per saperne di più su questi scopi
Gestisci preferenze
{title} {title} {title}