Reino: Encapsulation
La encapsulación consiste en crear límites fuertes. En un explorador web esto puede suponer la seguridad de que tu codificación móvil no se vea comprometido por otro código móvil. En el servidor puede significar la diferenciación entre los datos validados y los que no lo están, entre los datos de un usuario y los de otro, o entre los diferentes usuarios, los datos que pueden ver y los que no.
Insecure Storage: Lacking Data Protection
Abstract
El método identificado escribe datos en un archivo al que le faltan valores de configuración suficientes de cifrado.
Explanation
La API de protección de datos está diseñada para permitir que las aplicaciones declaren cuándo deben ser accesibles los elementos de llaves y los archivos almacenados en el sistema de archivos. Está disponible para la mayoría de API de archivo y base de datos, como NSFileManager, CoreData, NSData y SQLite. Al especificar una de las cuatro clases de protección para un determinado recurso, un desarrollador puede indicar al sistema de archivos subyacente que la cifre mediante una clave derivada del UID del dispositivo y del código de acceso del usuario, o mediante una clave basada exclusivamente en el UID del dispositivo. También debe indicar cuándo debe descifrarla automáticamente.
Las clases de protección de datos se definen para
-
El recurso se almacena en un formato cifrado en el disco y no puede leerse ni escribirse mientras el dispositivo está bloqueado o arrancando.
Disponible en iOS 4.0 y posteriores.
-
El recurso se almacena en un formato cifrado en el disco. Pueden crearse recursos mientras el dispositivo está bloqueado pero, cuando se cierra, ya no puede abrirse de nuevo hasta que el dispositivo esté desbloqueado. Si se abre el recurso mientras está desbloqueado, puede seguir teniendo acceso al recurso con normalidad incluso si el usuario bloquea el dispositivo.
Disponible en iOS 5.0 y posteriores.
-
El recurso se almacena en un formato cifrado en el disco y no se puede tener acceso a él hasta que el dispositivo haya arrancado. La primera vez que el usuario desbloquea el dispositivo, la aplicación puede acceder al recurso y seguir teniendo acceso a él incluso si el usuario bloquea el dispositivo posteriormente.
Disponible en iOS 5.0 y posteriores.
-
El recurso no tiene asociada ninguna protección especial. Se puede leer y escribir en él en cualquier momento.
Disponible en iOS 4.0 y posteriores.
Aunque todos los archivos de un dispositivo con iOS, incluidos los que no tienen explícitamente asignada una clase de protección de datos, se almacenan en un formato cifrado, especificar
Ejemplo 1: en el siguiente ejemplo, el archivo no está protegido (es accesible en todo momento cuando el dispositivo está encendido):
Las clases de protección de datos se definen para
NSFileManager como constantes que deben asignarse como el valor de la clave NSFileProtectionKey en un NSDictionary asociado a la instancia de NSFileManager, y se pueden crear archivos o modificar su clase de protección de datos mediante el uso de funciones NSFileManager como setAttributes:ofItemAtPath:error:, attributesOfItemAtPath:error: y createFileAtPath:contents:attributes:. Además, las constantes de protección de datos correspondientes se definen para objetos NSData como NSDataWritingOptions que pueden pasarse como el argumento options a las funciones NSDatawriteToURL:options:error: y writeToFile:options:error:. Las definiciones de las diversas constantes de clases de protección de datos para NSFileManager y NSData son las siguientes:-
NSFileProtectionComplete, NSDataWritingFileProtectionComplete:El recurso se almacena en un formato cifrado en el disco y no puede leerse ni escribirse mientras el dispositivo está bloqueado o arrancando.
Disponible en iOS 4.0 y posteriores.
-
NSFileProtectionCompleteUnlessOpen, NSDataWritingFileProtectionCompleteUnlessOpen:El recurso se almacena en un formato cifrado en el disco. Pueden crearse recursos mientras el dispositivo está bloqueado pero, cuando se cierra, ya no puede abrirse de nuevo hasta que el dispositivo esté desbloqueado. Si se abre el recurso mientras está desbloqueado, puede seguir teniendo acceso al recurso con normalidad incluso si el usuario bloquea el dispositivo.
Disponible en iOS 5.0 y posteriores.
-
NSFileProtectionCompleteUntilFirstUserAuthentication, NSDataWritingFileProtectionCompleteUntilFirstUserAuthentication:El recurso se almacena en un formato cifrado en el disco y no se puede tener acceso a él hasta que el dispositivo haya arrancado. La primera vez que el usuario desbloquea el dispositivo, la aplicación puede acceder al recurso y seguir teniendo acceso a él incluso si el usuario bloquea el dispositivo posteriormente.
Disponible en iOS 5.0 y posteriores.
-
NSFileProtectionNone, NSDataWritingFileProtectionNone:El recurso no tiene asociada ninguna protección especial. Se puede leer y escribir en él en cualquier momento.
Disponible en iOS 4.0 y posteriores.
Aunque todos los archivos de un dispositivo con iOS, incluidos los que no tienen explícitamente asignada una clase de protección de datos, se almacenan en un formato cifrado, especificar
NSFileProtectionNone provoca un cifrado con una clave derivada exclusivamente del UID del dispositivo. Esto permite que se pueda acceder a dichos archivos siempre que el dispositivo está encendido, incluso cuando está bloqueado con un código de acceso o durante el arranque. Por lo tanto, deben revisarse con atención los usos de NSFileProtectionNone para determinar si se necesita mayor protección con una clase de protección de datos más estricta.Ejemplo 1: en el siguiente ejemplo, el archivo no está protegido (es accesible en todo momento cuando el dispositivo está encendido):
Ejemplo 2: en el siguiente ejemplo, los datos no están protegidos (son accesibles en todo momento cuando el dispositivo está encendido):
...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSDictionary *protection = [NSDictionary dictionaryWithObject:NSFileProtectionNone forKey:NSFileProtectionKey];
...
[[NSFileManager defaultManager] setAttributes:protection ofItemAtPath:filepath error:nil];
...
BOOL ok = [testToWrite writeToFile:filepath atomically:YES encoding:NSUnicodeStringEncoding error:&err];
...
...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSData *textData = [textToWrite dataUsingEncoding:NSUnicodeStingEncoding];
...
BOOL ok = [textData writeToFile:filepath options:NSDataWritingFileProtectionNone error:&err];
...
References
[1] iOS Security Guide Apple
[2] Standards Mapping - CIS Azure Kubernetes Service Benchmark 4.0
[3] Standards Mapping - CIS Microsoft Azure Foundations Benchmark partial
[4] Standards Mapping - CIS Amazon Elastic Kubernetes Service Benchmark 5.0
[5] Standards Mapping - CIS Amazon Web Services Foundations Benchmark 4
[6] Standards Mapping - CIS Google Kubernetes Engine Benchmark confidentiality
[7] Standards Mapping - CIS Kubernetes Benchmark complete
[8] Standards Mapping - Common Weakness Enumeration CWE ID 311
[9] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001350, CCI-002475
[10] Standards Mapping - FIPS200 MP
[11] Standards Mapping - General Data Protection Regulation (GDPR) Insufficient Data Protection
[12] Standards Mapping - NIST Special Publication 800-53 Revision 4 AU-9 Protection of Audit Information (P1), SC-28 Protection of Information at Rest (P1)
[13] Standards Mapping - NIST Special Publication 800-53 Revision 5 AU-9 Protection of Audit Information, SC-28 Protection of Information at Rest
[14] Standards Mapping - OWASP Top 10 2004 A8 Insecure Storage
[15] Standards Mapping - OWASP Top 10 2007 A8 Insecure Cryptographic Storage
[16] Standards Mapping - OWASP Top 10 2010 A7 Insecure Cryptographic Storage
[17] Standards Mapping - OWASP Top 10 2013 A6 Sensitive Data Exposure
[18] Standards Mapping - OWASP Top 10 2017 A3 Sensitive Data Exposure
[19] Standards Mapping - OWASP Top 10 2021 A02 Cryptographic Failures
[20] Standards Mapping - OWASP Application Security Verification Standard 4.0 2.6.3 Look-up Secret Verifier Requirements (L2 L3), 6.2.1 Algorithms (L1 L2 L3), 8.1.6 General Data Protection (L3)
[21] Standards Mapping - OWASP Mobile 2014 M2 Insecure Data Storage
[22] Standards Mapping - OWASP Mobile 2024 M9 Insecure Data Storage
[23] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-STORAGE-1
[24] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.3
[25] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.3
[26] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.3
[27] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.3
[28] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[29] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 7.1 - Use of Cryptography
[30] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 7.1 - Use of Cryptography, Control Objective B.2.3 - Terminal Software Design
[31] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 7.1 - Use of Cryptography, Control Objective B.2.3 - Terminal Software Design
[32] Standards Mapping - SANS Top 25 2010 Porous Defenses - CWE ID 311
[33] Standards Mapping - SANS Top 25 2011 Porous Defenses - CWE ID 311
[34] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3210.1 CAT II, APP3310 CAT I, APP3340 CAT I
[35] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3210.1 CAT II, APP3340 CAT I
[36] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3210.1 CAT II, APP3340 CAT I
[37] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3210.1 CAT II, APP3340 CAT I
[38] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3210.1 CAT II, APP3340 CAT I
[39] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3210.1 CAT II, APP3340 CAT I
[40] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3210.1 CAT II, APP3340 CAT I
[41] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[42] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[43] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[44] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[45] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[46] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[47] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[48] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[49] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[50] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[51] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[52] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[53] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[54] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[55] Standards Mapping - Web Application Security Consortium Version 2.00 Information Leakage (WASC-13)
desc.dataflow.objc.insecure_storage_lacking_data_protection
Abstract
El método identificado escribe datos en un archivo al que le faltan valores de configuración suficientes de cifrado.
Explanation
La API de protección de datos está diseñada para permitir que las aplicaciones declaren cuándo deben ser accesibles los elementos de llaves y los archivos almacenados en el sistema de archivos. Está disponible para la mayoría de API de archivo y base de datos, como NSFileManager, CoreData, NSData y SQLite. Al especificar una de las cuatro clases de protección para un determinado recurso, un desarrollador puede indicar al sistema de archivos subyacente que la cifre mediante una clave derivada del UID del dispositivo y del código de acceso del usuario, o mediante una clave basada exclusivamente en el UID del dispositivo. También debe indicar cuándo debe descifrarla automáticamente.
Las clases de protección de datos se definen en
-
El recurso se almacena en un formato cifrado en el disco y no puede leerse ni escribirse mientras el dispositivo está bloqueado o arrancando.
Disponible en iOS 4.0 y posteriores.
-
El recurso se almacena en un formato cifrado en el disco. Pueden crearse recursos mientras el dispositivo está bloqueado pero, cuando se cierra, ya no puede abrirse de nuevo hasta que el dispositivo esté desbloqueado. Si se abre el recurso mientras está desbloqueado, puede seguir teniendo acceso al recurso con normalidad incluso si el usuario bloquea el dispositivo.
Disponible en iOS 5.0 y posteriores.
-
El recurso se almacena en un formato cifrado en el disco y no se puede tener acceso a él hasta que el dispositivo haya arrancado. La primera vez que el usuario desbloquea el dispositivo, la aplicación puede acceder al recurso y seguir teniendo acceso a él incluso si el usuario bloquea el dispositivo posteriormente.
Disponible en iOS 5.0 y posteriores.
-
El recurso no tiene asociada ninguna protección especial. Se puede leer y escribir en él en cualquier momento.
Disponible en iOS 4.0 y posteriores.
Aunque todos los archivos de un dispositivo con iOS, incluidos los que no tienen explícitamente asignada una clase de protección de datos, se almacenan en un formato cifrado, especificar
Ejemplo 1: en el siguiente ejemplo, el archivo determinado no está protegido (es decir, es accesible en todo momento cuando el dispositivo está encendido).
Las clases de protección de datos se definen en
NSFileManager como constantes que deben asignarse como el valor de la clave NSFileProtectionKey en un Dictionary asociado a la instancia de NSFileManager. Se pueden crear archivos o modificar su clase de protección de datos mediante el uso de funciones NSFileManager como setAttributes(_:ofItemAtPath:), attributesOfItemAtPath(_:) y createFileAtPath(_:contents:attributes:). Además, se definen constantes de protección de datos correspondientes para objetos NSData en la enumeración NSDataWritingOptions que pueden pasarse como el argumento options a funciones NSData como
writeToFile(_:options:)NSFileManager y NSData son las siguientes:-
NSFileProtectionComplete, NSDataWritingOptions.DataWritingFileProtectionComplete:El recurso se almacena en un formato cifrado en el disco y no puede leerse ni escribirse mientras el dispositivo está bloqueado o arrancando.
Disponible en iOS 4.0 y posteriores.
-
NSFileProtectionCompleteUnlessOpen, NSDataWritingOptions.DataWritingFileProtectionCompleteUnlessOpen:El recurso se almacena en un formato cifrado en el disco. Pueden crearse recursos mientras el dispositivo está bloqueado pero, cuando se cierra, ya no puede abrirse de nuevo hasta que el dispositivo esté desbloqueado. Si se abre el recurso mientras está desbloqueado, puede seguir teniendo acceso al recurso con normalidad incluso si el usuario bloquea el dispositivo.
Disponible en iOS 5.0 y posteriores.
-
NSFileProtectionCompleteUntilFirstUserAuthentication, NSDataWritingOptions.DataWritingFileProtectionCompleteUntilFirstUserAuthentication:El recurso se almacena en un formato cifrado en el disco y no se puede tener acceso a él hasta que el dispositivo haya arrancado. La primera vez que el usuario desbloquea el dispositivo, la aplicación puede acceder al recurso y seguir teniendo acceso a él incluso si el usuario bloquea el dispositivo posteriormente.
Disponible en iOS 5.0 y posteriores.
-
NSFileProtectionNone, NSDataWritingOptions.DataWritingFileProtectionNone:El recurso no tiene asociada ninguna protección especial. Se puede leer y escribir en él en cualquier momento.
Disponible en iOS 4.0 y posteriores.
Aunque todos los archivos de un dispositivo con iOS, incluidos los que no tienen explícitamente asignada una clase de protección de datos, se almacenan en un formato cifrado, especificar
NSFileProtectionNone provoca un cifrado con una clave derivada exclusivamente del UID del dispositivo. Esto permite que se pueda acceder a dichos archivos siempre que el dispositivo está encendido, incluso cuando está bloqueado con un código de acceso o durante el arranque. Por lo tanto, deben revisarse con atención los usos de NSFileProtectionNone para determinar si se necesita mayor protección con una clase de protección de datos más estricta.Ejemplo 1: en el siguiente ejemplo, el archivo determinado no está protegido (es decir, es accesible en todo momento cuando el dispositivo está encendido).
Ejemplo 2: en el siguiente ejemplo, los datos determinados no están protegidos (es decir, son accesibles en todo momento cuando el dispositivo está encendido).
...
let documentsPath = NSURL(fileURLWithPath: NSSearchPathForDirectoriesInDomains(.DocumentDirectory, .UserDomainMask, true)[0])
let filename = "\(documentsPath)/tmp_activeTrans.txt"
let protection = [NSFileProtectionKey: NSFileProtectionNone]
do {
try NSFileManager.defaultManager().setAttributes(protection, ofItemAtPath: filename)
} catch let error as NSError {
NSLog("Unable to change attributes: \(error.debugDescription)")
}
...
BOOL ok = textToWrite.writeToFile(filename, atomically:true)
...
...
let documentsPath = NSURL(fileURLWithPath: NSSearchPathForDirectoriesInDomains(.DocumentDirectory, .UserDomainMask, true)[0])
let filename = "\(documentsPath)/tmp_activeTrans.txt"
...
BOOL ok = textData.writeToFile(filepath, options: .DataWritingFileProtectionNone);
...
References
[1] iOS Security Guide Apple
[2] Standards Mapping - CIS Azure Kubernetes Service Benchmark 4.0
[3] Standards Mapping - CIS Microsoft Azure Foundations Benchmark partial
[4] Standards Mapping - CIS Amazon Elastic Kubernetes Service Benchmark 5.0
[5] Standards Mapping - CIS Amazon Web Services Foundations Benchmark 4
[6] Standards Mapping - CIS Google Kubernetes Engine Benchmark confidentiality
[7] Standards Mapping - CIS Kubernetes Benchmark complete
[8] Standards Mapping - Common Weakness Enumeration CWE ID 311
[9] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001350, CCI-002475
[10] Standards Mapping - FIPS200 MP
[11] Standards Mapping - General Data Protection Regulation (GDPR) Insufficient Data Protection
[12] Standards Mapping - NIST Special Publication 800-53 Revision 4 AU-9 Protection of Audit Information (P1), SC-28 Protection of Information at Rest (P1)
[13] Standards Mapping - NIST Special Publication 800-53 Revision 5 AU-9 Protection of Audit Information, SC-28 Protection of Information at Rest
[14] Standards Mapping - OWASP Top 10 2004 A8 Insecure Storage
[15] Standards Mapping - OWASP Top 10 2007 A8 Insecure Cryptographic Storage
[16] Standards Mapping - OWASP Top 10 2010 A7 Insecure Cryptographic Storage
[17] Standards Mapping - OWASP Top 10 2013 A6 Sensitive Data Exposure
[18] Standards Mapping - OWASP Top 10 2017 A3 Sensitive Data Exposure
[19] Standards Mapping - OWASP Top 10 2021 A02 Cryptographic Failures
[20] Standards Mapping - OWASP Application Security Verification Standard 4.0 2.6.3 Look-up Secret Verifier Requirements (L2 L3), 6.2.1 Algorithms (L1 L2 L3), 8.1.6 General Data Protection (L3)
[21] Standards Mapping - OWASP Mobile 2014 M2 Insecure Data Storage
[22] Standards Mapping - OWASP Mobile 2024 M9 Insecure Data Storage
[23] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-STORAGE-1
[24] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.3
[25] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.3
[26] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.3
[27] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.3
[28] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[29] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 7.1 - Use of Cryptography
[30] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 7.1 - Use of Cryptography, Control Objective B.2.3 - Terminal Software Design
[31] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 7.1 - Use of Cryptography, Control Objective B.2.3 - Terminal Software Design
[32] Standards Mapping - SANS Top 25 2010 Porous Defenses - CWE ID 311
[33] Standards Mapping - SANS Top 25 2011 Porous Defenses - CWE ID 311
[34] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3210.1 CAT II, APP3310 CAT I, APP3340 CAT I
[35] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3210.1 CAT II, APP3340 CAT I
[36] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3210.1 CAT II, APP3340 CAT I
[37] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3210.1 CAT II, APP3340 CAT I
[38] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3210.1 CAT II, APP3340 CAT I
[39] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3210.1 CAT II, APP3340 CAT I
[40] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3210.1 CAT II, APP3340 CAT I
[41] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[42] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[43] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[44] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[45] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[46] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[47] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[48] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[49] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[50] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[51] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[52] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[53] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[54] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-001350 CAT II, APSC-DV-002340 CAT II
[55] Standards Mapping - Web Application Security Consortium Version 2.00 Information Leakage (WASC-13)
desc.structural.swift.insecure_storage_lacking_data_protection