¿Es seguro mostrar la información de versión en una página web pública de su aplicación web?

1

Conozco a una empresa comercio electrónico que tiene un sitio web público, por ejemplo www.app.com, que tiene una página www.app.com/version.jsp que también es accesible al público La página tiene la siguiente información.

Build Info
Path:   /root/version/app/v5.6/b10
Server:     appUSA-prod-srv1
Date:   09/10/2017 6:21 AM
Source:     svn@svn
CI: Link (this leads to an internal link which is inaccessible to public)
Gradle is used in newer apps.

Es bueno para los desarrolladores / QA saber la versión exacta y construir en producción simplemente revisando la página. Pero, ¿es seguro o recomendable hacer que esta página sea de acceso público?

    
pregunta testerjoe2 29.09.2017 - 01:58
fuente

2 respuestas

2

Cuando se encuentre en un entorno de producción, cuanta menos información no crítica se distribuya, mejor será su superficie de seguridad.

La información de la versión y el nombre de un producto se pueden usar para limitar el alcance de los ataques que se pueden usar contra una aplicación.

Sin conocer las entradas y salidas de la aplicación, es difícil saber si en realidad se implementa como una aplicación de "nivel de producción".

Añadiré que con las aplicaciones controladas por SVN, la información de la versión se vuelve inútil para un atacante porque es probable que la aplicación se actualice rápidamente.

EDITAR: Para mayor aclaración, también mencionaré que muchos protocolos y piezas de software pasarán un parámetro de versión. Esto es para asegurar que el programa está hablando con una versión válida. Imagine una versión anterior de la aplicación hablando con una nueva instancia de software de servidor. Las cosas pueden ir muy mal, o simplemente no funcionar en absoluto.

    
respondido por el dark_st3alth 29.09.2017 - 03:09
fuente
0

Si se trata de una aplicación personalizada / a medida, entonces agregar el número de versión probablemente no será un problema porque los números de la versión no les ayudarán a encontrar vulnerabilidades de una base de datos de vulnerabilidad existente.

Pero si se trata de una aplicación comercial, especialmente de uso generalizado, entonces un atacante puede usar el número de versión para reducir los ataques que el atacante debe hacer para tener éxito. Saber el número de versión puede permitirle al atacante mantener un perfil más bajo contra cualquier mecanismo de alerta de defensa que pueda tener. Por ejemplo, si tiene un sistema de detección de intrusos o si tiene un servidor de seguridad de aplicación web configurado para detectar y alertar solicitudes que parecen intentos de ataque de una vulnerabilidad ya corregida en su versión implementada, es posible que no se activen si el atacante usó la versión información para omitir los exploits ya parcheados.

    
respondido por el Lie Ryan 30.09.2017 - 12:50
fuente

Lea otras preguntas en las etiquetas