H1RD SECURITY

Ataque por configuracion de seguridad incorrecta

Todas las configuraciones relacionadas con la seguridad de una aplicación deben ser definidas, implementadas y mantenidas, ya que las configuraciones por defecto no suelen ser correctas. Ademas se debe mantener todo el codigo actualizado incluido las librerias de terceros que se usen en la aplicación. Esto incluye, cuentas de usuario por defecto, paginas sin usar, acceso a ficheros y directorios desprotegidos, fallos no arreglados, configuraciones incorrectas, que nos den acceso al sistema o a informacion relevante del sistema.

Según la Open Web Application Security Project (Owasp), el ataque por configuracion de seguridad incorrecta forma parte de su top diez.

Configuraciones de seguridad incorrectas y habituales de aplicaciones web.

  • Mostrar codigo de la aplicación al usuario cuando se genera un error en la aplicación.
  • Configuración incorrecta de la gestión de logs, por ejemplo elmah.axd o trace.axd, por defecto sus logs son visibles a todo el mundo…
  • Paquetes de terceros sin actualizar.
  • y muchos más, la mejor manera para darse cuenta de la gravedad de este problema es viendo la posibilidad de encontrar estos problemas desde google, incluso, solo accediendo a Google Hacking DB.
  • Injection (7)
  • Hacker (41)
  • Owasp (19)
  • Intro (10)
  • Hijacking (5)
  • Protocolos (6)
  • Http (5)
  • Telnet (1)
  • Xss (5)
  • Fiddler (2)
  • Programacion (2)
  • Lua (2)
  • Pentesting (16)
  • Nmap (9)
  • Firewall (1)
  • Ids (1)
  • Recon-ng (4)
  • Protocolos (3)
  • Articulos (2)
  • Metasploit (5)
  • Metasploitable2 (5)
  • Hydra (1)
  • Subdominios (1)
  • Cookie (1)