From 37ccc82cb2d2af5a910c22e9fb42b1b066e537e3 Mon Sep 17 00:00:00 2001 From: htrgouvea Date: Sun, 18 Feb 2024 11:03:28 -0300 Subject: [PATCH] update content --- templates/1.yml | 87 +++++++++++++++++++++-- templates/10.yml | 12 ++-- templates/11.yml | 36 ++++++++-- templates/12.yml | 6 +- templates/15.yml | 17 ----- templates/3.yml | 12 ++-- templates/4.yml | 12 ++-- templates/5.yml | 12 ++-- templates/6.yml | 14 ++-- templates/8.yml | 20 ++++-- templates/exposure-sensitive-info.yml | 23 ++---- templates/insecure-app-permissions.yml | 12 ++-- templates/insecure-http-communication.yml | 47 +++++++----- templates/no-rate-limit.yml | 37 +++++----- templates/s3-without-criptography.yml | 15 +++- templates/use-of-default-credential.yml | 26 +++++-- 16 files changed, 254 insertions(+), 134 deletions(-) delete mode 100644 templates/15.yml diff --git a/templates/1.yml b/templates/1.yml index a7d103d..3c47067 100644 --- a/templates/1.yml +++ b/templates/1.yml @@ -6,12 +6,87 @@ vulnerability: type: cloud category: Other description: - pt-br: - en: - es: + pt-br: O Amazon Elastic Block Store (EBS) oferece volumes de armazenamento de bloco para uso com instâncias do Amazon EC2. Os volumes EBS são altamente disponíveis e confiáveis. Eles são armazenados de forma redundante em vários dispositivos em vários racks de um único data center e são projetados para serem duráveis, independentemente do tipo de instância do EC2 em que são montados. No entanto, os volumes EBS não são criptografados por padrão. Isso significa que, se um invasor obtiver acesso ao volume EBS, ele poderá acessar os dados armazenados nele. Para proteger os dados armazenados em volumes EBS, é recomendável criptografar os volumes EBS. + en: Amazon Elastic Block Store (EBS) provides block storage volumes for use with Amazon EC2 instances. EBS volumes are highly available and reliable. They are stored redundantly across multiple devices in multiple racks in a single data center and are designed to be durable, regardless of the EC2 instance type to which they are attached. However, EBS volumes are not encrypted by default. This means that if an attacker gains access to the EBS volume, they can access the data stored on it. To protect the data stored on EBS volumes, it is recommended to encrypt the EBS volumes. + es: Amazon Elastic Block Store (EBS) proporciona volúmenes de almacenamiento de bloques para su uso con instancias de Amazon EC2. Los volúmenes EBS son altamente disponibles y confiables. Se almacenan de forma redundante en varios dispositivos en varios racks en un único centro de datos y están diseñados para ser duraderos, independientemente del tipo de instancia de EC2 a la que estén adjuntos. Sin embargo, los volúmenes EBS no están encriptados de forma predeterminada. Esto significa que si un atacante obtiene acceso al volumen EBS, puede acceder a los datos almacenados en él. Para proteger los datos almacenados en los volúmenes EBS, se recomienda encriptar los volúmenes EBS. recommendation: - pt-br: - en: - es: + pt-br: | + Para criptografar um volume EBS existente, siga as etapas abaixo: + 1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/. + 2. No painel de navegação, escolha Volumes. + 3. Selecione o volume EBS que deseja criptografar. + 4. Escolha Actions, Modify Volume. + 5. No campo Encryption, selecione o tipo de chave que deseja usar para criptografar o volume. + 6. Escolha Modify. + 7. Selecione o volume EBS e escolha Actions, Create Snapshot. + 8. No campo Encryption, selecione o tipo de chave que deseja usar para criptografar o snapshot. + 9. Escolha Create Snapshot. + 10. No painel de navegação, escolha Snapshots. + 11. Selecione o snapshot que você acabou de criar. + 12. Escolha Actions, Copy. + 13. No campo Encryption, selecione o tipo de chave que deseja usar para criptografar o snapshot. + 14. Escolha Copy. + 15. No painel de navegação, escolha Snapshots. + 16. Selecione o snapshot que você acabou de criar. + 17. Escolha Actions, Create Volume. + 18. No campo Encryption, selecione o tipo de chave que deseja usar para criptografar o volume. + 19. Escolha Create Volume. + 20. No painel de navegação, escolha Volumes. + 21. Selecione o volume EBS que você acabou de criar. + 22. Escolha Actions, Attach Volume. + 23. Selecione a instância EC2 à qual deseja anexar o volume. + 24. Escolha Attach. + en: | + To encrypt an existing EBS volume, follow the steps below: + 1. Open the Amazon EC2 console at https://console.aws.amazon.com/ec2/. + 2. In the navigation pane, choose Volumes. + 3. Select the EBS volume that you want to encrypt. + 4. Choose Actions, Modify Volume. + 5. In the Encryption field, select the type of key that you want to use to encrypt the volume. + 6. Choose Modify. + 7. Select the EBS volume and choose Actions, Create Snapshot. + 8. In the Encryption field, select the type of key that you want to use to encrypt the snapshot. + 9. Choose Create Snapshot. + 10. In the navigation pane, choose Snapshots. + 11. Select the snapshot that you just created. + 12. Choose Actions, Copy. + 13. In the Encryption field, select the type of key that you want to use to encrypt the snapshot. + 14. Choose Copy. + 15. In the navigation pane, choose Snapshots. + 16. Select the snapshot that you just created. + 17. Choose Actions, Create Volume. + 18. In the Encryption field, select the type of key that you want to use to encrypt the volume. + 19. Choose Create Volume. + 20. In the navigation pane, choose Volumes. + 21. Select the EBS volume that you just created. + 22. Choose Actions, Attach Volume. + 23. Select the EC2 instance to which you want to attach the volume. + 24. Choose Attach. + es: | + Para encriptar un volumen EBS existente, siga los pasos a continuación: + 1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/. + 2. En el panel de navegación, elija Volumes. + 3. Seleccione el volumen EBS que desea encriptar. + 4. Elija Actions, Modify Volume. + 5. En el campo Encryption, seleccione el tipo de clave que desea usar para encriptar el volumen. + 6. Elija Modify. + 7. Seleccione el volumen EBS y elija Actions, Create Snapshot. + 8. En el campo Encryption, seleccione el tipo de clave que desea usar para encriptar el snapshot. + 9. Elija Create Snapshot. + 10. En el panel de navegación, elija Snapshots. + 11. Seleccione el snapshot que acaba de crear. + 12. Elija Actions, Copy. + 13. En el campo Encryption, seleccione el tipo de clave que desea usar para encriptar el snapshot. + 14. Elija Copy. + 15. En el panel de navegación, elija Snapshots. + 16. Seleccione el snapshot que acaba de crear. + 17. Elija Actions, Create Volume. + 18. En el campo Encryption, seleccione el tipo de clave que desea usar para encriptar el volumen. + 19. Elija Create Volume. + 20. En el panel de navegación, elija Volumes. + 21. Seleccione el volumen EBS que acaba de crear. + 22. Elija Actions, Attach Volume. + 23. Seleccione la instancia EC2 a la que desea adjuntar el volumen. + 24. Elija Attach. references: - https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html \ No newline at end of file diff --git a/templates/10.yml b/templates/10.yml index 5067287..cc3347a 100644 --- a/templates/10.yml +++ b/templates/10.yml @@ -6,13 +6,13 @@ vulnerability: type: cloud category: Other description: - pt-br: - en: - es: + pt-br: A exposição desnecessária de serviços em ambientes de homologação podem apresentar riscos desde vazamento de informações como funcionalidades que ainda não foram anunciadas para o mercado como possibilidade de serviços que não possuem os mesmos controles de segurança do ambiente produtivo. + en: The unnecessary exposure of services in staging environments can present risks from information leakage to features that have not yet been announced to the market as a possibility of services that do not have the same security controls as the production environment. + es: La exposición innecesaria de servicios en entornos de homologación puede presentar riesgos desde la fuga de información hasta características que aún no se han anunciado en el mercado como la posibilidad de servicios que no tienen los mismos controles de seguridad que el entorno de producción. recommendation: - pt-br: - en: - es: + pt-br: É fortemente recomendado que para acessar os ativos nesse ambiente seja necessário fazer o uso de VPNs pois se tratam de ativos sensíveis e ainda em fase de testes. Se VPN não for uma possibilidade, outro possível caminho é fazer restrições aos IPs específicos das pessoas que precisam fazer o uso. + en: It is strongly recommended that to access the assets in this environment it is necessary to use VPNs as they are sensitive assets and still in the testing phase. If VPN is not a possibility, another possible path is to restrict to the specific IPs of the people who need to use it. + es: Es muy recomendable que para acceder a los activos en este entorno sea necesario utilizar VPN, ya que son activos sensibles y aún están en fase de pruebas. Si VPN no es una posibilidad, otro posible camino es restringir a las IPs específicas de las personas que necesitan usarlo. references: - https://owasp.org/Top10/A05_2021-Security_Misconfiguration/ - https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html \ No newline at end of file diff --git a/templates/11.yml b/templates/11.yml index f05b4db..812faf0 100644 --- a/templates/11.yml +++ b/templates/11.yml @@ -6,12 +6,36 @@ vulnerability: type: cloud category: Other description: - pt-br: - en: - es: + pt-br: | + O CloudTrail é um recurso importante nas contas AWS, isso se dá ao fato que ele registra todos os eventos na API da AWS e permite auditorias e também investigações em casos de incidentes. Mas foi possível notar que na lista um dos recursos tem o atributo “LogFileValidationEnabled” desativado. + O recurso LogFileValidationEnabled (Habilitar validação de integridade de arquivos de log) no AWS CloudTrail se refere a uma opção que permite a validação da integridade dos arquivos de log gerados pelo CloudTrail. Quando ativado, esse recurso verifica a integridade dos arquivos de log para garantir que eles não tenham sido modificados ou corrompidos após a sua criação. Isso ajuda a manter a integridade e a confiabilidade dos registros de auditoria no CloudTrail. + A validação de integridade dos arquivos de log é uma prática importante para fins de segurança e conformidade, pois garante que os registros de auditoria não tenham sido adulterados ou manipulados por terceiros maliciosos ou acidentalmente devido a falhas de armazenamento ou transferência. + Quando você habilita a validação de integridade de arquivos de log, o CloudTrail usará algoritmos de hash para calcular resumos (hashes) dos arquivos de log e, em seguida, comparará esses hashes com os valores esperados. Se houver qualquer discrepância ou sinal de que um arquivo de log foi alterado, isso será detectado e registrado. + Ativar a validação de integridade de arquivos de log é uma prática recomendada para garantir a confiabilidade dos registros de auditoria no ambiente da AWS. No entanto, lembre-se de que essa função pode consumir recursos adicionais, como tempo de CPU, durante a geração e a verificação dos hashes, portanto, avalie os requisitos e impactos específicos para sua conta e aplicação antes de ativá-la. + Sem essa opção ativa, as chances podem aumentar drasticamente de um defeito afetar a integridade dos logs e o problema só ser descoberto quando uma real necessidade aparecer para que o log seja usado. Correndo o risco de que não seja possível fazer essa utilização. + en: | + CloudTrail is an important feature in AWS accounts, as it records all events in the AWS API and allows audits and investigations in case of incidents. But it was possible to notice that in the list one of the resources has the attribute "LogFileValidationEnabled" disabled. + The LogFileValidationEnabled feature in AWS CloudTrail refers to an option that allows the validation of the integrity of the log files generated by CloudTrail. When enabled, this feature checks the integrity of the log files to ensure that they have not been modified or corrupted after their creation. This helps maintain the integrity and reliability of audit logs in CloudTrail. + Log file integrity validation is an important practice for security and compliance purposes, as it ensures that audit logs have not been tampered with or manipulated by malicious third parties or accidentally due to storage or transfer failures. + When you enable log file integrity validation, CloudTrail will use hash algorithms to calculate digests (hashes) of the log files and then compare these hashes with the expected values. If there is any discrepancy or sign that a log file has been altered, this will be detected and recorded. + Enabling log file integrity validation is a recommended practice to ensure the reliability of audit logs in the AWS environment. However, keep in mind that this feature can consume additional resources, such as CPU time, during the generation and verification of hashes, so evaluate the specific requirements and impacts for your account and application before enabling it. + Without this option active, the chances can dramatically increase that a defect will affect the integrity of the logs and the problem will only be discovered when a real need arises for the log to be used. Running the risk that it may not be possible to make this use. + es: | + CloudTrail es una característica importante en las cuentas de AWS, ya que registra todos los eventos en la API de AWS y permite auditorías e investigaciones en caso de incidentes. Pero fue posible notar que en la lista uno de los recursos tiene el atributo "LogFileValidationEnabled" deshabilitado. + El recurso LogFileValidationEnabled en AWS CloudTrail se refiere a una opción que permite la validación de la integridad de los archivos de registro generados por CloudTrail. Cuando está habilitada, esta función verifica la integridad de los archivos de registro para asegurarse de que no hayan sido modificados o corrompidos después de su creación. Esto ayuda a mantener la integridad y confiabilidad de los registros de auditoría en CloudTrail. + La validación de la integridad del archivo de registro es una práctica importante para fines de seguridad y cumplimiento, ya que garantiza que los registros de auditoría no hayan sido manipulados o manipulados por terceros malintencionados o accidentalmente debido a fallas de almacenamiento o transferencia. + Cuando habilita la validación de la integridad del archivo de registro, CloudTrail utilizará algoritmos hash para calcular resúmenes (hashes) de los archivos de registro y luego comparará estos hashes con los valores esperados. Si hay alguna discrepancia o señal de que un archivo de registro ha sido alterado, esto se detectará y registrará. + Habilitar la validación de la integridad del archivo de registro es una práctica recomendada para garantizar la confiabilidad de los registros de auditoría en el entorno de AWS. Sin embargo, tenga en cuenta que esta función puede consumir recursos adicionales, como tiempo de CPU, durante la generación y verificación de hashes, por lo que evalúe los requisitos específicos y los impactos para su cuenta y aplicación antes de habilitarla. + Sin esta opción activa, las posibilidades pueden aumentar drásticamente de que un defecto afecte la integridad de los registros y el problema solo se descubrirá cuando surja una necesidad real de que se utilice el registro. Corriendo el riesgo de que no sea posible hacer este uso. recommendation: - pt-br: - en: - es: + pt-br: | + Para ativar essa opção pode ser utilizado o comando: + $ aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation + en: | + To enable this option, the command can be used: + $ aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation + es: | + Para habilitar esta opción, se puede utilizar el comando: + $ aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation references: - https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html \ No newline at end of file diff --git a/templates/12.yml b/templates/12.yml index dc89aa2..671d2f5 100644 --- a/templates/12.yml +++ b/templates/12.yml @@ -6,9 +6,9 @@ vulnerability: type: cloud category: Other description: - pt-br: - en: - es: + pt-br: Checando a política de senhas aplicada a conta em questão, é perceptível que a mesma já encontra em um nível de maturidade super interessante pois tem todos os recursos disponíveis habilitados como prevenção de reuso de senha, tempo de expiração e demais. No entanto o comprimento/tamanho mínimo exigido para as senhas é curto, de apenas 8 caracteres. Quanto menor for uma senha, menor será a complexidade da mesma, diminuindo assim o esforço para N tipos de ataques. Esse fato faz com a possibilidade da execução de alguns ataques fiquem viáveis, aumentando o risco para a conta. + en: Checking the password policy applied to the account in question, it is noticeable that it is already at a very interesting maturity level because it has all the available resources enabled such as prevention of password reuse, expiration time and others. However, the minimum length required for passwords is short, only 8 characters. The shorter a password, the less complex it will be, thus reducing the effort for N types of attacks. This fact makes the possibility of executing some attacks viable, increasing the risk for the account. + es: Al verificar la política de contraseñas aplicada a la cuenta en cuestión, es evidente que ya se encuentra en un nivel de madurez muy interesante porque tiene todos los recursos disponibles habilitados, como la prevención de la reutilización de contraseñas, el tiempo de expiración y otros. Sin embargo, la longitud mínima requerida para las contraseñas es corta, solo 8 caracteres. Cuanto más corta sea una contraseña, menos compleja será, reduciendo así el esfuerzo para N tipos de ataques. Este hecho hace que la posibilidad de ejecutar algunos ataques sea viable, aumentando el riesgo para la cuenta. recommendation: pt-br: Como estamos inseridos em um contexto extremamente crítico, a recomendação é que a conta exigi pelo menos 12 caracteres. en: As we are in an extremely critical context, the recommendation is that the account requires at least 12 characters. diff --git a/templates/15.yml b/templates/15.yml deleted file mode 100644 index 3075937..0000000 --- a/templates/15.yml +++ /dev/null @@ -1,17 +0,0 @@ -vulnerability: - name: - pt-br: - en: - es: - type: cloud - category: Other - description: - pt-br: - en: - es: - recommendation: - pt-br: - en: - es: - references: - - \ No newline at end of file diff --git a/templates/3.yml b/templates/3.yml index 75c7a2c..cebcb0c 100644 --- a/templates/3.yml +++ b/templates/3.yml @@ -6,12 +6,12 @@ vulnerability: type: cloud category: Other description: - pt-br: - en: - es: + pt-br: O S3 (Simple Storage Service) é um serviço de armazenamento de objetos, ele permite que você armazene, recupere e gerencie objetos, como arquivos e dados, em uma infraestrutura de armazenamento altamente disponível e durável. Os objetos no S3 são armazenados em buckets (compartimentos), que são contêineres para os seus dados. Se você habilitar a listagem/indexação em um bucket público, qualquer pessoa na internet poderá ver a lista de objetos nesse bucket. Isso pode levar à exposição acidental de dados sensíveis ou confidenciais, caso você armazene tais dados no bucket. Cibercriminosos e bots maliciosos frequentemente escaneiam a internet em busca de buckets S3 com listagem pública ativada. Eles podem usar essas informações para coletar dados, realizar ataques ou comprometer recursos. + en: Amazon S3 (Simple Storage Service) is an object storage service that allows you to store, retrieve, and manage objects, such as files and data, in a highly available and durable storage infrastructure. Objects in S3 are stored in buckets, which are containers for your data. If you enable listing/indexing on a public bucket, anyone on the internet can see the list of objects in that bucket. This can lead to the accidental exposure of sensitive or confidential data if you store such data in the bucket. Cybercriminals and malicious bots often scan the internet for S3 buckets with public listing enabled. They can use this information to collect data, perform attacks, or compromise resources. + es: recommendation: - pt-br: - en: - es: + pt-br: Para mitigar esses riscos, é uma prática recomendada evitar a habilitação de listagem/indexação pública em seus buckets, a menos que seja estritamente necessário. Em vez disso, configure permissões adequadas para controlar quem pode acessar os dados em seus buckets. Use políticas de controle de acesso para permitir acesso somente a usuários ou sistemas autorizados. Caso seja necessário fornecer acesso público a arquivos específicos em um bucket, você pode usar URLs de pré-assinatura (pre-signed URLs) ou configurar um CDN (Content Delivery Network) para distribuir conteúdo de forma controlada e segura, sem expor a listagem completa dos objetos no bucket. + en: To mitigate these risks, it is a best practice to avoid enabling public listing/indexing on your buckets unless it is strictly necessary. Instead, configure proper permissions to control who can access the data in your buckets. Use access control policies to allow access only to authorized users or systems. If you need to provide public access to specific files in a bucket, you can use pre-signed URLs or set up a Content Delivery Network (CDN) to distribute content in a controlled and secure manner, without exposing the full listing of objects in the bucket. + es: references: - https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html \ No newline at end of file diff --git a/templates/4.yml b/templates/4.yml index 87ac34f..7a7198d 100644 --- a/templates/4.yml +++ b/templates/4.yml @@ -6,12 +6,12 @@ vulnerability: type: cloud category: Other description: - pt-br: - en: - es: + pt-br: Uma função Lambda (ou Lambda function) é um serviço de computação sem servidor que permite a execução de código em resposta a eventos sem a necessidade de gerenciar servidores. Ela é uma parte central da computação serverless, que visa simplificar o processo de desenvolvimento e execução de aplicativos, permitindo que os desenvolvedores se concentrem apenas no código e na lógica de negócios, sem se preocupar com a infraestrutura subjacente. Credenciais, chaves de API ou tokens de acesso, não devem ser codificadas diretamente no código-fonte, pois isso pode tornar essas informações vulneráveis a ataques se o código for comprometido. É mais seguro armazenar essas informações em locais seguros, como variáveis de ambiente ou serviços de gerenciamento de segredos, como o AWS Secrets Manager ou o AWS Parameter Store. + en: A Lambda function is a serverless computing service that allows you to run code in response to events without the need to manage servers. It is a central part of serverless computing, which aims to simplify the process of developing and running applications, allowing developers to focus only on the code and business logic, without worrying about the underlying infrastructure. Credentials, API keys, or access tokens should not be hardcoded directly in the source code, as this can make this information vulnerable to attacks if the code is compromised. It is safer to store this information in secure locations, such as environment variables or secret management services, such as AWS Secrets Manager or AWS Parameter Store. + es: Una función Lambda es un servicio de computación sin servidor que le permite ejecutar código en respuesta a eventos sin la necesidad de administrar servidores. Es una parte central de la computación sin servidor, que tiene como objetivo simplificar el proceso de desarrollo y ejecución de aplicaciones, permitiendo a los desarrolladores centrarse solo en el código y la lógica empresarial, sin preocuparse por la infraestructura subyacente. Las credenciales, claves de API o tokens de acceso no deben codificarse directamente en el código fuente, ya que esto puede hacer que esta información sea vulnerable a ataques si el código se ve comprometido. Es más seguro almacenar esta información en ubicaciones seguras, como variables de entorno o servicios de administración de secretos, como AWS Secrets Manager o AWS Parameter Store. recommendation: - pt-br: - en: - es: + pt-br: Para informações altamente sensíveis, como senhas e segredos, considere o uso de serviços de gerenciamento de segredos, como o AWS Secrets Manager ou o AWS Parameter Store. Eles podem armazenar e recuperar essas informações de forma segura, com controle de acesso e rotação automática de segredos. + en: For highly sensitive information, such as passwords and secrets, consider using secret management services, such as AWS Secrets Manager or AWS Parameter Store. They can securely store and retrieve this information, with access control and automatic secret rotation. + es: Para información altamente sensible, como contraseñas y secretos, considere el uso de servicios de administración de secretos, como AWS Secrets Manager o AWS Parameter Store. Pueden almacenar y recuperar esta información de forma segura, con control de acceso y rotación automática de secretos. references: - https://docs.aws.amazon.com/codeguru/detector-library/python/hardcoded-credentials/ \ No newline at end of file diff --git a/templates/5.yml b/templates/5.yml index 03ba02e..b9da644 100644 --- a/templates/5.yml +++ b/templates/5.yml @@ -6,12 +6,12 @@ vulnerability: type: cloud category: Other description: - pt-br: - en: - es: + pt-br: O EBS (Elastic Block Store) é um serviço de armazenamento de blocos (com alta disponibilidade e escalável), ele fornece volumes de armazenamento persistente que podem ser anexados a instâncias EC2 (Elastic Compute Cloud), permitindo que você armazene dados, como sistemas de arquivos, bancos de dados e outros tipos de informações, de forma confiável e durável. Um recurso importante do Amazon EBS é a capacidade de criar snapshots. Os snapshots são cópias point-in-time dos dados em seu volume EBS. Eles são úteis para backup, recuperação de desastres e migração de dados. Os snapshots são armazenados no Amazon S3 (Simple Storage Service) e são incrementalmente copiados, o que ajuda a economizar espaço e custos. A criptografia ajuda a proteger os dados armazenados em snapshots contra acessos não autorizados. Mesmo que os snapshots sejam armazenados no Amazon S3, aplicar criptografia aos dados garante que eles estejam protegidos contra qualquer pessoa que tente acessá-los sem a chave de criptografia correta. + en: Amazon EBS (Elastic Block Store) is a high-availability and scalable block storage service that provides persistent storage volumes that can be attached to EC2 (Elastic Compute Cloud) instances, allowing you to store data, such as file systems, databases, and other types of information, reliably and durably. An important feature of Amazon EBS is the ability to create snapshots. Snapshots are point-in-time copies of the data on your EBS volume. They are useful for backup, disaster recovery, and data migration. Snapshots are stored in Amazon S3 (Simple Storage Service) and are incrementally copied, which helps save space and costs. Encryption helps protect the data stored in snapshots against unauthorized access. Even though snapshots are stored in Amazon S3, applying encryption to the data ensures that they are protected against anyone trying to access them without the correct encryption key. + es: recommendation: - pt-br: - en: - es: + pt-br: Para criar snapshots criptografados do Amazon EBS, você pode configurar a criptografia durante o processo de criação do snapshot ou aplicar criptografia em snapshots existentes usando a AWS Console ou via AWS CLI. + en: To create encrypted snapshots of Amazon EBS, you can configure encryption during the snapshot creation process or apply encryption to existing snapshots using the AWS Console or via AWS CLI. + es: references: - https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html \ No newline at end of file diff --git a/templates/6.yml b/templates/6.yml index 1fb8dba..51477d0 100644 --- a/templates/6.yml +++ b/templates/6.yml @@ -6,12 +6,16 @@ vulnerability: type: cloud category: Other description: - pt-br: - en: - es: + pt-br: O S3 (Simple Storage Service) é um serviço de armazenamento de objetos, ele permite que você armazene, recupere e gerencie objetos, como arquivos e dados, em uma infraestrutura de armazenamento altamente disponível e durável. Os objetos no S3 são armazenados em "buckets" (compartimentos), que são contêineres para os seus dados. O versionamento no Amazon S3 (Simple Storage Service) é uma funcionalidade que permite manter várias versões de um objeto (arquivo) em um bucket S3. Quando o versionamento é habilitado para um bucket, o S3 não substituirá objetos existentes quando uma nova versão for carregada com o mesmo nome. Em vez disso, o S3 armazenará cada versão do objeto e permitirá que você acesse, recupere e restaure versões anteriores, se necessário. O versionamento ajuda a proteger seus dados contra ataques maliciosos que visam modificar ou excluir objetos, já que as versões anteriores podem ser restauradas. Identificamos que esse recurso está desativado em vários buckets. Sem o versionamento, caso um objeto seja excluído ou substituído por engano, não haverá uma cópia de backup dessa versão anterior. Isso pode levar à perda irreversível de dados importantes. + en: Amazon S3 (Simple Storage Service) is an object storage service that allows you to store, retrieve, and manage objects, such as files and data, in a highly available and durable storage infrastructure. Objects in S3 are stored in buckets, which are containers for your data. Versioning in Amazon S3 (Simple Storage Service) is a feature that allows you to keep multiple versions of an object (file) in an S3 bucket. When versioning is enabled for a bucket, S3 will not overwrite existing objects when a new version is uploaded with the same name. Instead, S3 will store each version of the object and allow you to access, retrieve, and restore previous versions, if necessary. Versioning helps protect your data against malicious attacks that aim to modify or delete objects, as previous versions can be restored. We identified that this feature is disabled in several buckets. Without versioning, if an object is accidentally deleted or replaced, there will be no backup copy of that previous version. This can lead to irreversible loss of important data. + es: recommendation: - pt-br: - en: + pt-br: | + Para ativar o versionamento em um bucket S3 usando a AWS CLI, você pode usar o comando aws s3api put-bucket-versioning. Aqui está o comando geral para ativar o versionamento: + aws s3api put-bucket-versioning --bucket NOME_DO_BUCKET --versioning-configuration Status=Enabled + en: | + To enable versioning on an S3 bucket using the AWS CLI, you can use the aws s3api put-bucket-versioning command. Here is the general command to enable versioning: + aws s3api put-bucket-versioning --bucket BUCKET_NAME --versioning-configuration Status=Enabled es: references: - https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html \ No newline at end of file diff --git a/templates/8.yml b/templates/8.yml index fdd19e1..dd2d916 100644 --- a/templates/8.yml +++ b/templates/8.yml @@ -6,12 +6,22 @@ vulnerability: type: cloud category: Other description: - pt-br: - en: - es: + pt-br: | + O CloudTrail é um recurso importante nas contas AWS, isso se dá ao fato que ele registra todos os eventos na API da AWS e permite auditorias e também investigações em casos de incidentes. Mas foi possível notar que na lista “wazuh-trail” o recurso “LogFileValidationEnabled” está desativado. O recurso "LogFileValidationEnabled" (Habilitar validação de integridade de arquivos de log) no AWS CloudTrail se refere a uma opção que permite a validação da integridade dos arquivos de log gerados pelo CloudTrail. Quando ativado, esse recurso verifica a integridade dos arquivos de log para garantir que eles não tenham sido modificados ou corrompidos após a sua criação. Isso ajuda a manter a integridade e a confiabilidade dos registros de auditoria no CloudTrail. + A validação de integridade dos arquivos de log é uma prática importante para fins de segurança e conformidade, pois garante que os registros de auditoria não tenham sido adulterados ou manipulados por terceiros maliciosos ou acidentalmente devido a falhas de armazenamento ou transferência. Quando você habilita a validação de integridade de arquivos de log, o CloudTrail usará algoritmos de hash para calcular resumos (hashes) dos arquivos de log e, em seguida, comparará esses hashes com os valores esperados. Se houver qualquer discrepância ou sinal de que um arquivo de log foi alterado, isso será detectado e registrado. + Ativar a validação de integridade de arquivos de log é uma prática recomendada para garantir a confiabilidade dos registros de auditoria no ambiente da AWS. No entanto, lembre-se de que essa função pode consumir recursos adicionais, como tempo de CPU, durante a geração e a verificação dos hashes, portanto, avalie os requisitos e impactos específicos para sua conta e aplicação antes de ativá-la. Sem essa opção ativa, as chances podem aumentar drasticamente de um defeito afetar a integridade dos logs e o problema só ser descoberto quando uma real necessidade aparecer para que o log seja usado. Correndo o risco de que não seja possível fazer essa utilização. + en: | + CloudTrail is an important feature in AWS accounts, as it records all events in the AWS API and allows audits and investigations in case of incidents. But it was possible to notice that in the "wazuh-trail" list the "LogFileValidationEnabled" feature is disabled. The "LogFileValidationEnabled" feature in AWS CloudTrail refers to an option that allows the validation of the integrity of the log files generated by CloudTrail. When enabled, this feature checks the integrity of the log files to ensure that they have not been modified or corrupted after their creation. This helps maintain the integrity and reliability of audit logs in CloudTrail. + Log file integrity validation is an important practice for security and compliance purposes, as it ensures that audit logs have not been tampered with or manipulated by malicious third parties or accidentally due to storage or transfer failures. When you enable log file integrity validation, CloudTrail will use hash algorithms to calculate digests (hashes) of the log files and then compare these hashes with the expected values. If there is any discrepancy or sign that a log file has been altered, this will be detected and recorded. + Enabling log file integrity validation is a recommended practice to ensure the reliability of audit logs in the AWS environment. However, keep in mind that this feature can consume additional resources, such as CPU time, during the generation and verification of hashes, so evaluate the specific requirements and impacts for your account and application before enabling it. Without this option active, the chances can dramatically increase that a defect will affect the integrity of the logs and the problem will only be discovered when a real need arises for the log to be used. Running the risk that it may not be possible to make this use. + es: recommendation: - pt-br: - en: + pt-br: | + Para ativar essa opção pode ser utilizado o comando: + $ aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation + en: | + To enable this option, the command can be used: + $ aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation es: references: - https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html \ No newline at end of file diff --git a/templates/exposure-sensitive-info.yml b/templates/exposure-sensitive-info.yml index d3314be..25e18bc 100644 --- a/templates/exposure-sensitive-info.yml +++ b/templates/exposure-sensitive-info.yml @@ -6,23 +6,14 @@ vulnerability: type: web category: Other description: - pt-br: - en: - es: + pt-br: A vulnerabilidade ocorre quando a partir de uma interação direta ou indireta com a aplicação existe a exposição de informações cujo teor é relevante para a organização, podendo ser utilizadas para causar prejuízo para o negócio. Dados pessoais (PII), credenciais, informações de sessão e informações relativas ao funcionamento interno da aplicação são exemplos comuns de informações sensíveis. A exposição comumente ocorre devido à falhas de configuração e/ou falha na manipulação de erros por parte da aplicação. O impacto do vazamento varia de acordo com a criticidade da informação, podendo ocasionar desde o comprometimento total da aplicação até a multas por violação de legislação como GDPR e LGPD. + en: The vulnerability occurs when, from a direct or indirect interaction with the application, there is exposure of information whose content is relevant to the organization, which can be used to cause damage to the business. Personal data (PII), credentials, session information, and information related to the internal operation of the application are common examples of sensitive information. Exposure commonly occurs due to configuration failures and/or failure in error handling by the application. The impact of the leak varies according to the criticality of the information, and can range from the total compromise of the application to fines for violation of legislation such as GDPR and LGPD. + es: La vulnerabilidad ocurre cuando, a partir de una interacción directa o indirecta con la aplicación, se expone información cuyo contenido es relevante para la organización, lo que puede usarse para causar daños al negocio. Los datos personales (PII), credenciales, información de sesión e información relacionada con el funcionamiento interno de la aplicación son ejemplos comunes de información sensible. La exposición comúnmente ocurre debido a fallas de configuración y/o fallas en el manejo de errores por parte de la aplicación. El impacto de la fuga varía según la criticidad de la información, y puede ir desde el compromiso total de la aplicación hasta multas por violación de legislación como GDPR y LGPD. recommendation: - pt-br: - en: - es: + pt-br: A exposição de informações pode ser corrigida/prevenida através do controle de acesso em servidores e aplicações, utilizar criptografia para armazenar ou transmitir informações sensíveis e manipulando erros na aplicação de maneira correta. O princípio do menor privilégio é uma das maneiras mais eficientes de se realizar o controle de acesso a informações pois garante que somente quem precisa da informação poderá acessá-la, diminuindo o nível de exposição. Além disso, é importante garantir que boas práticas de segurança sejam utilizadas, como não armazenar ou transmitir informações de configuração, credenciais e PII em plain text. Erros de aplicação devem ter seus detalhes registrados em log, nunca devendo ser expostos ao usuário. + en: The exposure of information can be corrected/prevented through access control on servers and applications, using encryption to store or transmit sensitive information, and handling errors in the application correctly. The principle of least privilege is one of the most efficient ways to control access to information, as it ensures that only those who need the information can access it, reducing the level of exposure. Additionally, it is important to ensure that good security practices are used, such as not storing or transmitting configuration information, credentials, and PII in plain text. Application errors should have their details logged, and should never be exposed to the user. + es: La exposición de información puede corregirse/prevenirse mediante el control de acceso en servidores y aplicaciones, utilizando la criptografía para almacenar o transmitir información sensible y manejando errores en la aplicación de manera correcta. El principio del menor privilegio es una de las formas más eficientes de controlar el acceso a la información, ya que garantiza que solo aquellos que necesitan la información puedan acceder a ella, reduciendo el nivel de exposición. Además, es importante garantizar que se utilicen buenas prácticas de seguridad, como no almacenar o transmitir información de configuración, credenciales y PII en texto plano. Los errores de la aplicación deben tener sus detalles registrados en el registro, y nunca deben ser expuestos al usuario. references: - https://owasp.org/www-community/Improper_Error_Handling - https://owasp.org/www-community/vulnerabilities/Information_exposure_through_query_strings_in_url - - https://owasp.org/www-project-top-ten/2017/A3_2017-Sensitive_Data_Exposure.html - - -# Descrição -# A vulnerabilidade ocorre quando a partir de uma interação direta ou indireta com a aplicação existe a exposição de informações cujo teor é relevante para a organização, podendo ser utilizadas para causar prejuízo para o negócio. -# Dados pessoais (PII), credenciais, informações de sessão e informações relativas ao funcionamento interno da aplicação são exemplos comuns de informações sensíveis. A exposição comumente ocorre devido à falhas de configuração e/ou falha na manipulação de erros por parte da aplicação. O impacto do vazamento varia de acordo com a criticidade da informação, podendo ocasionar desde o comprometimento total da aplicação até a multas por violação de legislação como GDPR e LGPD. - -# Solução -# A exposição de informações pode ser corrigida/prevenida através do controle de acesso em servidores e aplicações, utilizar criptografia para armazenar ou transmitir informações sensíveis e manipulando erros na aplicação de maneira correta.  -# O princípio do menor privilégio é uma das maneiras mais eficientes de se realizar o controle de acesso a informações pois garante que somente quem precisa da informação poderá acessá-la, diminuindo o nível de exposição. Além disso, é importante garantir que boas práticas de segurança sejam utilizadas, como não armazenar ou transmitir informações de configuração, credenciais e PII em plain text. Erros de aplicação devem ter seus detalhes registrados em log, nunca devendo ser expostos ao usuário. \ No newline at end of file + - https://owasp.org/www-project-top-ten/2017/A3_2017-Sensitive_Data_Exposure.html \ No newline at end of file diff --git a/templates/insecure-app-permissions.yml b/templates/insecure-app-permissions.yml index 59d2b8a..ecb43e4 100644 --- a/templates/insecure-app-permissions.yml +++ b/templates/insecure-app-permissions.yml @@ -6,12 +6,12 @@ vulnerability: type: web category: Other description: - pt-br: - en: - es: + pt-br: O aplicativo solicita permissões que não são necessárias para o seu funcionamento, o que pode resultar em vazamento de informações sensíveis dos usuários. Além disso, o aplicativo pode solicitar permissões que não são necessárias para o seu funcionamento, o que pode resultar em vazamento de informações sensíveis dos usuários. + en: The application requests permissions that are not necessary for its operation, which can result in leakage of sensitive user information. In addition, the application may request permissions that are not necessary for its operation, which can result in leakage of sensitive user information. + es: La aplicación solicita permisos que no son necesarios para su funcionamiento, lo que puede resultar en la filtración de información sensible del usuario. Además, la aplicación puede solicitar permisos que no son necesarios para su funcionamiento, lo que puede resultar en la filtración de información sensible del usuario. recommendation: - pt-br: - en: - es: + pt-br: Para corrigir a vulnerabilidade, recomendamos que o aplicativo solicite apenas as permissões necessárias para o seu funcionamento. Além disso, é importante que o aplicativo solicite permissões apenas quando necessário, e que o usuário seja informado sobre o motivo da solicitação de permissão. + en: To fix the vulnerability, we recommend that the application requests only the permissions necessary for its operation. Additionally, it is important that the application requests permissions only when necessary, and that the user is informed about the reason for the permission request. + es: Para corregir la vulnerabilidad, recomendamos que la aplicación solicite solo los permisos necesarios para su funcionamiento. Además, es importante que la aplicación solicite permisos solo cuando sea necesario, y que el usuario sea informado sobre el motivo de la solicitud de permiso. references: - http://developer.android.com/guide/topics/security/permissions.html \ No newline at end of file diff --git a/templates/insecure-http-communication.yml b/templates/insecure-http-communication.yml index c32a9d9..443a287 100644 --- a/templates/insecure-http-communication.yml +++ b/templates/insecure-http-communication.yml @@ -10,23 +10,32 @@ vulnerability: en: The Web application does not use secure communication mechanisms (HTTPS). This allows malicious users in the same network environment to perform attacks, intercepting data transmitted between the client and server, which can lead to the leakage of sensitive information. es: La aplicación web no utiliza mecanismos de comunicación segura (HTTPS). Esto permite que los usuarios maliciosos en el mismo entorno de red realicen ataques, interceptando los datos transmitidos entre el cliente y el servidor, lo que puede provocar la fuga de información sensible. recommendation: - pt-br: - en: - es: + pt-br: | + Para correção da vulnerabilidade, recomendamos a implementação do protocolo HTTPS, o qual opera sob os protocolos criptográficos SSL e TLS. + Melhores práticas estabelecem a utilização do protocolo TLS em sua versão 1.2 ou superior, evitando qualquer versão do protocolo SSL devido à falhas conhecidas. + A aplicação também deve possuir um certificado digital assinado por uma autoridade certificadora, garantindo assim a confiabilidade e autenticidade do ambiente e da organização. + Adicionalmente, as configurações do servidor devem automaticamente redirecionar qualquer requisição HTTP insegura para o uso do HTTPS, conforme o exemplo abaixo: + Exemplo de configuração .htaccess: + RewriteEngine On + RewriteCond %{SERVER_PORT} 80 + RewriteRule ^(.*)$ https://site.com/$1 [R,L] + en: | + To fix the vulnerability, we recommend implementing the HTTPS protocol, which operates under the cryptographic protocols SSL and TLS. + Best practices establish the use of the TLS protocol in version 1.2 or higher, avoiding any version of the SSL protocol due to known vulnerabilities. + The application must also have a digital certificate signed by a certification authority, thus ensuring the reliability and authenticity of the environment and the organization. + Additionally, server settings should automatically redirect any insecure HTTP request to use HTTPS, as shown in the example below: + Example of .htaccess configuration: + RewriteEngine On + RewriteCond %{SERVER_PORT} 80 + RewriteRule ^(.*)$ https://site.com/$1 [R,L] + es: | + Para corregir la vulnerabilidad, recomendamos implementar el protocolo HTTPS, que opera bajo los protocolos criptográficos SSL y TLS. + Las mejores prácticas establecen el uso del protocolo TLS en su versión 1.2 o superior, evitando cualquier versión del protocolo SSL debido a vulnerabilidades conocidas. + La aplicación también debe tener un certificado digital firmado por una autoridad de certificación, garantizando así la confiabilidad y autenticidad del entorno y la organización. + Además, la configuración del servidor debe redirigir automáticamente cualquier solicitud HTTP insegura para usar HTTPS, como se muestra en el ejemplo a continuación: + Ejemplo de configuración .htaccess: + RewriteEngine On + RewriteCond %{SERVER_PORT} 80 + RewriteRule ^(.*)$ https://site.com/$1 [R,L] references: - - https://cheatsheetseries.owasp.org/cheatsheets/Transport_Layer_Protection_Cheat_Sheet.html - -# Descrição -# A aplicação Web não utiliza mecanismos de comunicação segura (HTTPS). Isso permite que usuários maliciosos no mesmo ambiente de rede realizem ataques, interceptando os dados trafegados entre cliente e servidor, podendo levar ao vazamento de informações sensíveis. -# Como a vulnerabilidade permite acesso a esses dados, a falta de HTTPS pode levar ao vazamento de informações sensíveis. - -# Solução -# Para correção da vulnerabilidade, recomendamos a implementação do protocolo HTTPS, o qual opera sob os protocolos criptográficos SSL e TLS. -# Melhores práticas estabelecem a utilização do protocolo TLS em sua versão 1.2 ou superior, evitando qualquer versão do protocolo SSL devido à falhas conhecidas. -# A aplicação também deve possuir um certificado digital assinado por uma autoridade certificadora, garantindo assim a confiabilidade e autenticidade do ambiente e da organização. -# Adicionalmente, as configurações do servidor devem automaticamente redirecionar qualquer requisição HTTP insegura para o uso do HTTPS, conforme o exemplo abaixo: - -# Exemplo de configuração .htaccess: -# RewriteEngine On -# RewriteCond %{SERVER_PORT} 80 -# RewriteRule ^(.*)$ https://site.com/$1 [R,L] \ No newline at end of file + - https://cheatsheetseries.owasp.org/cheatsheets/Transport_Layer_Protection_Cheat_Sheet.html \ No newline at end of file diff --git a/templates/no-rate-limit.yml b/templates/no-rate-limit.yml index 07210af..5480fa5 100644 --- a/templates/no-rate-limit.yml +++ b/templates/no-rate-limit.yml @@ -6,24 +6,25 @@ vulnerability: type: web category: Other description: - pt-br: - en: - es: + pt-br: Esse tipo de vulnerabilidade ocorre quando não são implementados controles de frequência de interações com o servidor, além de normalmente envolver uma diferença no comportamento do servidor ao receber dados válidos e inválidos. Por exemplo um endpoint de autenticação, diante do envio de credenciais válidas, retornará uma resposta diferente das antecedentes com as informações de sessão. Outro exemplo simples, ainda no caso de autenticação, é quando o servidor responde com "Usuário inválido" ao receber uma requisição de login cujo usuário não existe, e responde com "Login inválido" quando o usuário existe no cadastro mas a senha não bate, permitindo a enumeração de usuários. Porém, qualquer caso no qual exista uma ausência de controles de frequência (como CAPTCHA, rate-limiting etc.) pode introduzir a possibilidade de ataques automatizados, incluindo ataques cujo objetivo é simplesmente causar a exaustão de recursos. + en: This type of vulnerability occurs when frequency controls are not implemented, and normally involves a difference in server behavior when receiving valid and invalid data. For example, an authentication endpoint, when receiving valid credentials, will return a different response from the previous ones with session information. Another simple example, still in the case of authentication, is when the server responds with "Invalid user" when receiving a login request whose user does not exist, and responds with "Invalid login" when the user exists in the registry but the password does not match, allowing user enumeration. However, any case in which there is an absence of frequency controls (such as CAPTCHA, rate-limiting, etc.) can introduce the possibility of automated attacks, including attacks whose goal is simply to cause resource exhaustion. + es: Este tipo de vulnerabilidad ocurre cuando no se implementan controles de frecuencia, y normalmente implica una diferencia en el comportamiento del servidor al recibir datos válidos e inválidos. Por ejemplo, un punto final de autenticación, al recibir credenciales válidas, devolverá una respuesta diferente de las anteriores con información de sesión. Otro ejemplo simple, aún en el caso de autenticación, es cuando el servidor responde con "Usuario inválido" al recibir una solicitud de inicio de sesión cuyo usuario no existe, y responde con "Inicio de sesión inválido" cuando el usuario existe en el registro pero la contraseña no coincide, lo que permite la enumeración de usuarios. Sin embargo, cualquier caso en el que haya una ausencia de controles de frecuencia (como CAPTCHA, limitación de velocidad, etc.) puede introducir la posibilidad de ataques automatizados, incluidos los ataques cuyo objetivo es simplemente causar la agotamiento de recursos. recommendation: - pt-br: - en: - es: + pt-br: | + Para que esta falha não aconteça, deve ser implementado algum método de verificação nas frequências de requisições. A utilização destes métodos é efetiva pois garante que um atacante seja facilmente detectado ou seu script de automação seja bloqueado antes de efetivar o ataque. + Alguns métodos que podem ser usados contra ataques automatizados: + * CAPTCHA, é um programa que consegue distinguir entre uma máquina/robô e um usuário, para validar as requisições e não deixar que robôs automatizados abusem com requisições. + * Esgotamento de tempo e controle da frequência das requisições, verificando a origem da requisição ou ID do usuário para que o ele não consiga fazer a mesma ação em um pequeno intervalo de tempo. + en: | + To prevent this failure from happening, some method of verification in the frequency of requests must be implemented. The use of these methods is effective because it ensures that an attacker is easily detected or their automation script is blocked before the attack is carried out. + Some methods that can be used against automated attacks: + * CAPTCHA, is a program that can distinguish between a machine/robot and a user, to validate requests and prevent automated robots from abusing requests. + * Time exhaustion and control of the frequency of requests, checking the origin of the request or user ID so that the user cannot perform the same action in a short period of time. + es: | + Para evitar que esta falla ocurra, se debe implementar algún método de verificación en las frecuencias de solicitudes. La utilización de estos métodos es efectiva porque garantiza que un atacante sea fácilmente detectado o su script de automatización sea bloqueado antes de efectuar el ataque. + Algunos métodos que se pueden utilizar contra ataques automatizados: + * CAPTCHA, es un programa que puede distinguir entre una máquina/robot y un usuario, para validar las solicitudes y evitar que los robots automatizados abusen de las solicitudes. + * Agotamiento de tiempo y control de la frecuencia de las solicitudes, verificando el origen de la solicitud o el ID del usuario para que el usuario no pueda realizar la misma acción en un corto período de tiempo. references: - https://owasp.org/www-community/controls/Blocking_Brute_Force_Attacks - - https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html#protect-against-automated-attacks - -# Descrição -# Esse tipo de vulnerabilidade ocorre quando não são implementados controles de frequência de interações com o servidor, além de normalmente envolver uma diferença no comportamento do servidor ao receber dados válidos e inválidos. Por exemplo um endpoint de autenticação, diante do envio de credenciais válidas, retornará uma resposta diferente das antecedentes com as informações de sessão. Outro exemplo simples, ainda no caso de autenticação, é quando o servidor responde com "Usuário inválido" ao receber uma requisição de login cujo usuário não existe, e responde com "Login inválido" quando o usuário existe no cadastro mas a senha não bate, permitindo a enumeração de usuários. -# Porém, qualquer caso no qual exista uma ausência de controles de frequência (como CAPTCHA, rate-limiting etc.) pode introduzir a possibilidade de ataques automatizados, incluindo ataques cujo objetivo é simplesmente causar a exaustão de recursos. - -# Solução - -# Para que esta falha não aconteça, deve ser implementado algum método de verificação nas frequências de requisições. A utilização destes métodos é efetiva pois garante que um atacante seja facilmente detectado ou seu script de automação seja bloqueado antes de efetivar o ataque. -# Alguns métodos que podem ser usados contra ataques automatizados: -# * CAPTCHA, é um programa que consegue distinguir entre uma máquina/robô e um usuário, para validar as requisições e não deixar que robôs automatizados abusem com requisições. -# * Esgotamento de tempo e controle da frequência das requisições, verificando a origem da requisição ou ID do usuário para que o ele não consiga fazer a mesma ação em um pequeno intervalo de tempo. \ No newline at end of file + - https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html#protect-against-automated-attacks \ No newline at end of file diff --git a/templates/s3-without-criptography.yml b/templates/s3-without-criptography.yml index 956527b..a5cf48e 100644 --- a/templates/s3-without-criptography.yml +++ b/templates/s3-without-criptography.yml @@ -6,11 +6,22 @@ vulnerability: type: cloud category: Other description: - pt-br: + pt-br: | + O S3 (Simple Storage Service) é um serviço de armazenamento de objetos, ele permite que você armazene, recupere e gerencie objetos, como arquivos e dados, em uma infraestrutura de armazenamento altamente disponível e durável. Os objetos no S3 são armazenados em buckets (compartimentos), que são contêineres para os seus dados. + O SSE (Server-Side Encryption) ou Criptografia do Lado do Servidor é a funcionalidade que faz com que a criptografia seja aplicada aos objetos quando eles são armazenados no S3, protegendo os dados armazenados contra acesso não autorizado. + Existem três métodos de SSE disponíveis no Amazon S3: + * SSE-S3 (Server-Side Encryption with Amazon S3-Managed Keys): Nesse método, o S3 gerencia automaticamente as chaves de criptografia para você. Os dados são criptografados antes de serem escritos nos discos do servidor e descriptografados quando você os recupera. É uma maneira simples de habilitar a criptografia sem a necessidade de gerenciar chaves manualmente. + * SSE-KMS (Server-Side Encryption with AWS Key Management Service Keys): Com o SSE-KMS, você usa o AWS Key Management Service (KMS) para gerenciar as chaves de criptografia. Isso oferece um maior controle sobre as chaves e permite o uso de recursos adicionais de gerenciamento de chaves, como rotação de chaves e auditoria. Você pode usar chaves gerenciadas pelo KMS ou importar suas próprias chaves. + * SSE-C (Server-Side Encryption with Customer-Provided Keys): Nesse método, você fornece suas próprias chaves de criptografia e é responsável por gerenciá-las. O S3 usa essas chaves para criptografar e descriptografar os dados. Essa opção oferece o máximo de controle sobre as chaves, mas também requer gerenciamento adicional. + A utilização do SSE é altamente recomendada quando você armazena dados sensíveis ou confidenciais no Amazon S3. Ele oferece uma camada adicional de segurança para proteger seus dados contra acesso não autorizado, mesmo se alguém obtiver acesso físico aos servidores S3. Além disso, o uso do SSE pode ajudar a atender aos requisitos de conformidade com regulamentações de segurança. en: es: recommendation: - pt-br: + pt-br: | + Você pode usar a AWS CLI para configurar o SSE em um bucket S3. Aqui estão alguns exemplos de comandos: Para habilitar a criptografia SSE-S3 (gerenciada pelo S3) em um bucket: + aws s3api put-bucket-encryption --bucket NOME_DO_BUCKET --server-side-encryption-configuration { Rules :[{ ApplyServerSideEncryptionByDefault :{ SSEAlgorithm : AES256 }}]} + Após a execução do comando, a criptografia do lado do servidor estará ativada para o bucket especificado. + Certifique-se de que sua conta AWS tenha as permissões adequadas para realizar essas operações no bucket em questão. en: es: references: diff --git a/templates/use-of-default-credential.yml b/templates/use-of-default-credential.yml index cf93001..6172de3 100644 --- a/templates/use-of-default-credential.yml +++ b/templates/use-of-default-credential.yml @@ -6,12 +6,24 @@ vulnerability: type: web category: Other description: - pt-br: - en: - es: + pt-br: O uso de credenciais padrão ou fracas pode ser explorado por atacantes para obter acesso não autorizado a sistemas e dados. É importante que as credenciais padrão sejam alteradas para credenciais fortes e exclusivas. Além disso, é importante que as credenciais sejam armazenadas de forma segura e que a autenticação de dois fatores seja habilitada sempre que possível. + en: The use of default or weak credentials can be exploited by attackers to gain unauthorized access to systems and data. It is important that default credentials are changed to strong and unique credentials. Additionally, it is important that credentials are stored securely and that two-factor authentication is enabled whenever possible. + es: El uso de credenciales predeterminadas o débiles puede ser explotado por atacantes para obtener acceso no autorizado a sistemas y datos. Es importante que las credenciales predeterminadas se cambien por credenciales fuertes y únicas. Además, es importante que las credenciales se almacenen de forma segura y que la autenticación de dos factores se habilite siempre que sea posible. recommendation: - pt-br: - en: - es: + pt-br: | + Para evitar o uso de credenciais padrão ou fracas, siga as etapas abaixo: + 1. Altere as credenciais padrão para credenciais fortes e exclusivas. + 2. Armazene as credenciais de forma segura. + 3. Habilite a autenticação de dois fatores sempre que possível. + en: | + To avoid the use of default or weak credentials, follow the steps below: + 1. Change default credentials to strong and unique credentials. + 2. Store credentials securely. + 3. Enable two-factor authentication whenever possible. + es: | + Para evitar el uso de credenciales predeterminadas o débiles, siga los pasos a continuación: + 1. Cambie las credenciales predeterminadas por credenciales fuertes y únicas. + 2. Almacene las credenciales de forma segura. + 3. Habilite la autenticación de dos factores siempre que sea posible. references: - - \ No newline at end of file + - https://d1.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf \ No newline at end of file