Como comprobador de seguridad, debo informar y justificar que una configuración incorrecta de seguridad en una aplicación de terceros es un riesgo para nosotros.
A continuación se presenta el escenario:
1.) Existe una aplicación de terceros que los clientes utilizan para enviarnos sus solicitudes. Recibimos los datos de la aplicación de terceros y los procesamos más.
2.) En esa aplicación en particular, al hacer clic en un hipervínculo, se muestra una página de error con la siguiente información:
a) Source file path (however it is forbidden when tried to access)
b) .Net framework version which is vulnerable ASP.Net Forms Authentication Bypass
c) IIS server version (7.5) which has exploits as per my knowledge.
¿Cuál es el riesgo de esta mala configuración para nosotros? ¿Cómo justificarlo?
Nota: Esta página de error aparece solo después de que un usuario haya iniciado sesión. Y esta es una aplicación pública.