Pregunta sobre la información recuperada de los sistemas que potencialmente podría conducir a explotaciones

3

Por lo general, se recomienda, cuando uno quiere asegurar una aplicación, "proporcionar" como poca información, o mejor aún, no hay información para usuarios no autorizados (posiblemente maliciosos). Estoy pensando en información como el sistema operativo, la versión de la aplicación, etc.

Mi pregunta es la siguiente:
Tengo una aplicación web que permite el acceso solo desde direcciones IP específicas, el resto del mundo recibe una respuesta HTTP prohibida. Me preguntaba, en el contexto de seguridad mencionado anteriormente, ¿hay algo malo? Quiero decir, supongo que un intruso sabría que un servidor HTTP se está ejecutando pero no podría acceder a él.

¿Hay algún problema de seguridad debido a esto? ¿Se podría mejorar de alguna manera?
ACTUALIZACIÓN:
También estoy usando la autenticación a través del nombre de usuario y la contraseña, pero si la IP de origen no está en la lista permitida, no reciben una página de solicitud de nombre de usuario / contraseña. Solo prohibido

    
pregunta Jim 08.07.2011 - 23:31
fuente

4 respuestas

5

Si su servidor web solo está sirviendo IP específicas, probablemente sea una mejor idea permitir solo esas IP en su firewall.

    
respondido por el john 09.07.2011 - 00:34
fuente
5
  

¿hay algo mal?

Depende de las respuestas HTTP que proporcione a las solicitudes HTTP. Creo que está devolviendo 403 Prohibido, pero ¿lo está devolviendo en respuesta a todas las solicitudes?

GET, HEAD, PUT, POST, DELETE, TRACE, CONNECT, OPTIONS

Intente enviar todas estas solicitudes desde una dirección IP no autorizada y vea qué respuestas recibe. Si alguna solicitud devuelve 401 No autorizado, el atacante puede darse cuenta de que está realizando un filtrado de direcciones IP.

  

un intruso sabría que un servidor HTTP se está ejecutando pero no podría acceder a él.   ¿Hay algún problema de seguridad debido a esto?

No directamente no. En términos generales, ocultar su existencia no es una protección de seguridad. Ocultar su existencia es un intento de evitar ser atacado. Si bien ser atacado por un atacante es un problema de seguridad, muchos profesionales de la seguridad creen que es mejor centrarse en el problema de cómo defenderse contra un ataque, en lugar de cómo evitar que ocurra un ataque.

Creo que si eres un objetivo potencial (¿y qué servidor web no lo es?) es solo una cuestión de tiempo hasta que te ataquen. No si, sino cuando. Como creo que serás atacado, creo que es mejor gastar el esfuerzo en preparar una defensa. De hecho, intentar permanecer invisible puede darle una falsa sensación de seguridad y evitar que dedique esfuerzos a cosas importantes como parches y actualizaciones. Después de todo, si nadie sabe que existo, estoy a salvo, ¿no?

    
respondido por el this.josh 09.07.2011 - 08:55
fuente
1

Para casos específicos, podría funcionar como una buena opción para tener este enfoque pesimista, pero otras veces, esto no funcionará como lo has planeado.

  1. El atacante puede falsificar su dirección IP para que sea una de su "lista de direcciones IP permitidas", y desde su "definición" se le otorgará acceso completo a sus servicios.

  2. El atacante puede usar otros medios para reducir sus servicios. Si hay un banner o número de versión revelado en su respuesta prohibida 'HTTP', el atacante solo buscará exploits conocidos para esas versiones, y podría probar un exploit directamente.

  3. Ningún atacante puede desactivar su aplicación web en un solo intento. El atacante deberá realizar un 'Reconocimiento', 'Impresión digital' y exploraciones de vulnerabilidad para identificar posibles debilidades. Al permitir cierto nivel de acceso a personas externas, puede monitorear dichos eventos y usar esos datos para fortalecer su seguridad. Este período de aprendizaje podría ser extremadamente beneficioso para prevenir futuros ataques.

respondido por el Legolas 08.07.2011 - 23:55
fuente
0

Usted podría ser disimulado y ofrecer contenido diferente a los clientes "aprobados" y "no aprobados".

ver enlace

Las direcciones IP no aprobadas pueden recibir una trampa de miel, o simplemente una maqueta "¿Cómo es esto para nuestra nueva página principal?" Con imágenes de lorem ipsum y placeholde.it.

Las puertas blindadas y los candados grandes pueden asustar a algunos, pero 401/403 y los disparos "A los intrusos se les puede disparar" pueden provocar algunos intentos.

El solo hecho de servir contenido de apariencia inocente y "404 no encontrado" engañará a muchos chavales de secuencias de comandos, y no le dará más información al pirata informático determinado.

    
respondido por el Lenne 30.06.2016 - 08:43
fuente

Lea otras preguntas en las etiquetas