Table of Contents | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Generación del token
El token digital Token Digital se implementará utilizando el algoritmo TOTP (Time based One-Time Password), de acuerdo a con la especificación RFC 6238, que usará una semilla cifrada mediante AWS Cloud HSM. Para el proceso de generación se tiene en cuenta:
Identificador de acceso de la clave
Se usará el User Id que maneja actualmente Spin. Es un tipo de dato UUID, para su transmisión se usará su valor como cadena de texto y para la generación de tokens su valor como arreglo de bytes con longitud de 128 bits
Clave para generar OTP
La clave o semilla para ser usada por el algoritmo debe tener las siguientes características:
Aleatoriedad: Uso de generador de números aleatorios seguros.
Longitud: 256 bits
Unicidad: (Validar) Garantizar que no haya 2 semillas iguales
Secreto: Confidencialidad durante la generación y transmisión
Almacenamiento seguro: La clave se cifrará mediante AWS Cloud HSM y se almacenará una vez cifrada en MongoDB
Revocabilidad: Implementación de métodos para refrescar o eliminar la clave.
Algoritmo de cifrado para HMAC
...
Se deben ocultar todas las rutas referentes a acceso a consolas, portales de administrador, recursos de archivos, así como los reedireccionamientos a los mismos.
Se deberá usar software que sea estrictamente requerido. Durante el desarrollo de herramientas o software, se deberán desactivar los componentes y bibliotecas que no se requieran.
Se deberán realizar verificaciones y evaluaciones de software de terceros, incluyendo frameworks de desarrollo o bibliotecas de software populares.
Se deben ejecutar los intérpretes con el nivel de privilegios mínimo.
Aprobación y consideraciones para subir código a respositorios de SPIN
Documento | VoBo | Aprobador | Fecha |
---|---|---|---|
|
...
|
| Cecilia Martínez | 25/05/2023 | ||||||||||
|
| Monserrat Ayar | 31/08/2023 |
Vulnerabilidades encontradas
Vulnerabilidad por CSRF(Cross-site request forgery)
Identificada al implementar la configuración y uso de Apykey como medio de autenticación entre servicios en el servicio Aggregation Service:
...
esta Esta vulnerabilidad fue revisada con el equipo de desarrollo de Spin ya que al implementar el ApiKey en todos sus servicios presentan el mismo problema. Se llego a la conclusión que se podía mantener como un falso positivo ya que los servicios están en una subnet privada y son accedidos por medio de un balanceador privado, por lo que solo pueden ser consumidos por los servicios de Spin.
Vulnerabilidades por licencias
Estas vulnerabilidades son identificadas en los diferentes jar de librerías de terceros como las de Spring, Tomcat, Lockbag, etc:
...
estas Estas son librerías ampliamente usadas y de momento se acordo verlos como falsos positivos, pero se quedó que en cuanto se actualizara la base de datos de Snyk y si siguen saliendo se evaluara la exclusion o remediación de estos.