Reino: Encapsulation
La encapsulación consiste en crear límites fuertes. En un explorador web esto puede suponer la seguridad de que tu codificación móvil no se vea comprometido por otro código móvil. En el servidor puede significar la diferenciación entre los datos validados y los que no lo están, entre los datos de un usuario y los de otro, o entre los diferentes usuarios, los datos que pueden ver y los que no.
Cross-Session Contamination
Abstract
La transferencia de valores entre
localStorage y sessionStorage puede exponer información confidencial inintencionadamente.Explanation
HTML5 proporciona mapas
Por ejemplo, un desarrollador puede querer utilizar varias pestañas o instancias de explorador en una aplicación de viajes y además querer que un usuario pueda abrir varias pestañas para comparar alojamientos, al mismo tiempo que se conservan los criterios de búsqueda originales del usuario. En las condiciones de almacenamiento HTTP habituales, el usuario se arriesga con compras y decisiones que realiza en una pestaña (y que se almacenan en la sesión o en las cookies), lo que interfiere en las compras que realiza en otra pestaña.
Con la capacidad de utilizar valores de usuario entre varias pestañas del explorador, los desarrolladores deben tener cuidado de no traspasar información confidencial del ámbito
Ejemplo 1: En el ejemplo siguiente, se almacena la información del CCV de una tarjeta de crédito en la sesión para indicar que un usuario ya ha autorizado al sitio para que realice cargos en la tarjeta que consta en el archivo como método de pago de la compra. Para cada intento de compra dentro del contexto de la pestaña del explorador, se requiere la aprobación de la tarjeta de crédito. Para evitar tener que introducir el número CCV de nuevo, la información se almacena en el objeto
Al volver a colocar la información en el objeto
localStorage y sessionStorage de manera que los desarrolladores pueden conservar valores de programa. El mapa sessionStorage proporciona almacenamiento para la página de invocación y dura solo el tiempo de la instancia de la página y de la sesión inmediata del explorador. El mapa localStorage, sin embargo, proporciona almacenamiento al que se puede acceder mediante varias instancias de página y varias instancias de explorador. Esta funcionalidad permite a una aplicación conservar y utilizar la misma información en varias pestañas o ventanas de explorador.Por ejemplo, un desarrollador puede querer utilizar varias pestañas o instancias de explorador en una aplicación de viajes y además querer que un usuario pueda abrir varias pestañas para comparar alojamientos, al mismo tiempo que se conservan los criterios de búsqueda originales del usuario. En las condiciones de almacenamiento HTTP habituales, el usuario se arriesga con compras y decisiones que realiza en una pestaña (y que se almacenan en la sesión o en las cookies), lo que interfiere en las compras que realiza en otra pestaña.
Con la capacidad de utilizar valores de usuario entre varias pestañas del explorador, los desarrolladores deben tener cuidado de no traspasar información confidencial del ámbito
sessionStorage al ámbito localStorage y viceversa.Ejemplo 1: En el ejemplo siguiente, se almacena la información del CCV de una tarjeta de crédito en la sesión para indicar que un usuario ya ha autorizado al sitio para que realice cargos en la tarjeta que consta en el archivo como método de pago de la compra. Para cada intento de compra dentro del contexto de la pestaña del explorador, se requiere la aprobación de la tarjeta de crédito. Para evitar tener que introducir el número CCV de nuevo, la información se almacena en el objeto
sessionStorage. No obstante, el desarrollador también almacena la información en el objeto localStorage.
...
try {
sessionStorage.setItem("userCCV", currentCCV);
} catch (e) {
if (e == QUOTA_EXCEEDED_ERR) {
alert('Quota exceeded.');
}
}
...
...
var retrieveObject = sessionStorage.getItem("userCCV");
try {
localStorage.setItem("userCCV",retrieveObject);
} catch (e) {
if (e == QUOTA_EXCEEDED_ERR) {
alert('Quota exceeded.');
}
...
var userCCV = localStorage.getItem("userCCV");
...
}
...
Al volver a colocar la información en el objeto
localStorage, la información del número CCV ahora está disponible en otras pestañas del explorador además de en las invocaciones nuevas del explorador. Esto omitirá la lógica de la aplicación para el flujo de trabajo previsto.References
[1] Standards Mapping - Common Weakness Enumeration CWE ID 501
[2] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001090, CCI-002361
[3] Standards Mapping - FIPS200 SI
[4] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-12 Session Termination (P2), SC-4 Information in Shared Resources (P1)
[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-12 Session Termination, SC-4 Information in Shared System Resources
[7] Standards Mapping - OWASP Application Security Verification Standard 4.0 8.2.3 Client-side Data Protection (L1 L2 L3)
[8] Standards Mapping - OWASP Mobile 2014 M4 Unintended Data Leakage
[9] Standards Mapping - OWASP Mobile 2024 M9 Insecure Data Storage
[10] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-STORAGE-2
[11] Standards Mapping - OWASP Top 10 2004 A1 Unvalidated Input
[12] Standards Mapping - OWASP Top 10 2021 A04 Insecure Design
[13] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.1
[14] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1
[15] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.8
[16] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.8
[17] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.8
[18] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.8
[19] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.8
[20] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[21] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4
[22] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 5.4 - Authentication and Access Control
[23] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 5.4 - Authentication and Access Control
[24] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 5.4 - Authentication and Access Control, Control Objective C.2.3 - Web Software Access Controls
[25] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I
[26] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I
[27] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I
[28] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I
[29] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I
[30] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I
[31] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I
[32] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[33] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[34] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[35] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[36] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[37] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[38] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[39] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[40] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[41] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[42] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[43] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[44] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[45] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[46] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000060 CAT II, APSC-DV-002380 CAT II
[47] Standards Mapping - Web Application Security Consortium Version 2.00 Information Leakage (WASC-13)
[48] Standards Mapping - Web Application Security Consortium 24 + 2 Information Leakage
desc.dataflow.javascript.cross_session_contamination