02.-Pruebas de configuración y despliegue
Este conjunto de pruebas tiene como objetivo identificar vulnerabilidades que surgen debido a configuraciones incorrectas o inadecuadas en los sistemas. A continuación, se presentan algunas de las pruebas más representativas de esta categoría:
Paneles de Administración Expuestos¶
Los aplicativos web a menudo incluyen un panel de administración que permite realizar acciones con privilegios elevados dentro del sistema. Sin embargo, en algunos casos, estas interfaces administrativas no cuentan con los controles de protección adecuados, lo que puede generar accesos no autorizados.
Las pruebas en esta área buscan detectar paneles de administración que sean accesibles de forma pública en internet. Para ello, se pueden utilizar las siguientes técnicas:
-
Enumeración de ficheros y directorios: Uso de fuerza bruta para descubrir posibles rutas de administración.
-
Google Dorks: Búsqueda de paneles de administración a través de motores de búsqueda.
-
Análisis del código fuente: Revisión de URLs y enlaces dentro del código HTML y JavaScript de la aplicación.
-
Investigación de configuraciones predeterminadas: Si la aplicación está basada en un software conocido o en un framework específico, se puede revisar su documentación para verificar la existencia de accesos administrativos por defecto.
-
Exploración de puertos TCP: Identificación de servicios en otros puertos HTTP/HTTPS que puedan alojar paneles de administración.
Acceso a Ficheros Expuestos o No Referenciados¶
En algunos casos, ciertos ficheros dentro de una aplicación pueden estar accesibles públicamente aunque no sean referenciados en la interfaz del usuario. Estos archivos pueden incluir:
- Copias de seguridad de versiones anteriores de la aplicación.
- Archivos de logs.
- Archivos de configuración con información sensible.
- Credenciales de autenticación utilizadas para conectar la aplicación con bases de datos o sistemas de identidad.
Para localizar este tipo de archivos, se pueden aplicar las siguientes técnicas:
- Enumeración de archivos y directorios: Uso de listas de posibles rutas y nombres de archivos con diferentes extensiones.
- Google Dorks: Búsqueda de archivos sensibles a través de motores de búsqueda.
- Análisis del código fuente: Revisión de URLs y enlaces dentro del código HTML y JavaScript de la aplicación.
Autoevaluación¶
Pregunta: La fundación OWASP ayuda a mejorar el nivel de seguridad de los aplicativos gracias a sus guías técnicas.
- Verdadero
- Falso
Respuesta:
Verdadero. Las guías técnicas de OWASP permiten conocer los problemas de seguridad en aplicaciones web y establecen pautas para prevenir vulnerabilidades.