A04:2021 - Disseny insegur - Divulgació d'informació
Compartir
Introducció
La divulgació d'informació és una vulnerabilitat de seguretat, la criticitat de la qual dependrà de com sigui de sensible la informació obtinguda.
Es produeix quan una aplicació web exposa inadvertidament dades sensibles o confidencials a usuaris no autoritzats. Aquesta vulnerabilitat es pot manifestar de diverses maneres, incloent-hi la revelació de detalls tècnics del sistema, informació de configuració, dades d'usuaris, o fins i tot fragments de codi font.
Aquesta exposició no només compromet la integritat i la confidencialitat de l'aplicació, sinó que també pot proporcionar a potencials atacants informació valuosa per planificar i executar atacs més sofisticats contra el sistema.
Impacte
L'impacte de la divulgació d'informació a la seguretat d'una aplicació web pot ser significatiu:
- Exposició de dades sensibles: Podeu revelar informació confidencial com ara contrasenyes, dades d'usuaris o detalls de la infraestructura.
- Facilitació d'atacs més sofisticats: Els atacants poden fer servir la informació obtinguda per planificar i executar atacs més precisos i efectius.
- Pèrdua de confiança: Si els usuaris descobreixen que laplicació és vulnerable, pot resultar en una pèrdua de confiança i dany a la reputació de lorganització.
- Incompliment normatiu: Depenent de la naturalesa de la informació divulgada, pot portar a violacions de normatives de privadesa i seguretat de dades.
- Compromís de la integritat del sistema: La informació revelada pot ser utilitzada per comprometre la integritat i la seguretat general del sistema.
Aquests impactes subratllen la importància didentificar i mitigar les vulnerabilitats de divulgació dinformació en aplicacions web.
Exemples Pràctics
A continuació, es presenten alguns exemples pràctics de vulnerabilitats de divulgació dinformació en aplicacions web. Aquests casos il·lustren com la informació sensible es pot exposar inadvertidament, proporcionant als atacants dades valuoses sobre la infraestructura i el funcionament intern de l'aplicació.
Cada exemple inclou una descripció de lescenari, limpacte potencial, i les mesures de mitigació recomanades. És important comprendre aquests casos per millorar la seguretat de les aplicacions web i protegir la informació sensible de lorganització.
1. Missatges d'Error
Aquest cas específic fa referència a una tècnica deliberada de provocar errors en una pàgina web amb un propòsit estratègic. L'objectiu principal d'aquesta pràctica és induir el sistema a revelar informació crucial sobre la versió del programari que s'està utilitzant.
Aquesta tàctica, encara que aparentment simple, pot proporcionar a un atacant dades valuoses sobre la infraestructura tecnològica subjacent de l'aplicació web. En forçar intencionalment aquests errors, un atacant busca explotar les respostes del sistema per obtenir detalls tècnics que normalment estarien ocults.
Aquesta informació pot incloure no només la versió exacta del programari, sinó també altres detalls com el tipus de servidor web, el sistema operatiu subjacent o fins i tot fragments de codi font. Tots aquests elements poden ser utilitzats posteriorment per planificar atacs més sofisticats i dirigits.
Resum
- Es provoca un error deliberadament a l'aplicació web.
- El missatge derror generat revela certa informació. La informació obtinguda pot incloure versions de programari, rutes de fitxers o configuracions del servidor.
Exemple
Hi ha múltiples maneres de generar un error en una pàgina web. En aquest cas, se n'explicarà un de molt comú que passa quan a un paràmetre que s'espera que rebi un valor numèric INTEGER, se li envia un valor no numèric.
https://<victim_web>/product?productId=2
En aquest cas, s'alterarà el valor del paràmetre productId per enviar un valor no numèric i així forçar un error:
https://<victim_web>/product?productId="
Mitigació
- Configurar adequadament els missatges derror perquè no revelin informació sensible
- Implementar maneig d'errors personalitzat que amagui detalls tècnics
- Mantenir el programari i els sistemes actualitzats per reduir les vulnerabilitats conegudes
- Realitzar proves de seguretat regulars per identificar i corregir possibles fuites d'informació
2. Fitxers d'instal·lació per defecte / Debug files
Resum
- S'executa una fase de reconeixement, on es busquen fitxers i directoris mitjançant fitxers com sitemap.xml o robots.txt, a més d'eines de crawling, o enumeració de directoris
- El fitxer de depuració o el generat durant la instal·lació conté certa informació sensible. La informació obtinguda pot incloure versions de programari, rutes de fitxers, configuracions del servidor, claus i tokens en text clar
Exemple
Mitigació
- Eliminar o restringir l'accés a fitxers de diagnòstic en entorns de producció
- Implementar controls d'accés robusts per a fitxers sensibles
- Utilitzar firewalls d'aplicacions web (WAF) per bloquejar l'accés a fitxers potencialment perillosos
- Realitzar auditories regulars de seguretat per identificar i eliminar fitxers innecessaris
- Configurar correctament els permisos de fitxers i directoris al servidor web
- Utilitzar eines d'escaneig de vulnerabilitats per detectar fitxers exposats
- Implementar polítiques de seguretat que prohibeixin la presència d'arxius de debugging en producció
- Educar els desenvolupadors sobre els riscos de deixar arxius de diagnòstic accessibles
3. Arxius Ocults
Resum
- S'executa una fase de reconeixement, on es busquen fitxers i directoris mitjançant fitxers com sitemap.xml o robots.txt, a més d'eines de crawling, o enumeració de directoris.
- Els fitxers trobats mitjançant aquestes tècniques poden anar des de documentació interna, dades econòmiques, credencials d'usuaris, codi font, etc.
Exemple
Mitigació
- Identificar tots els fitxers que es mostrin des de la web
- Eliminar o restringir l'accés a fitxers amb informació crítica, com ara codi font, credencials…
- Implementar controls d'accés robusts per a fitxers sensibles
- Utilitzar firewalls d'aplicacions web (WAF) per bloquejar l'accés a fitxers potencialment perillosos
- Realitzar auditories regulars de seguretat per identificar i eliminar fitxers innecessaris
- Configurar correctament els permisos de fitxers i directoris al servidor web
- Utilitzar eines d'escaneig de vulnerabilitats per detectar fitxers exposats