Acceso directo a las páginas de administración. El servidor web o el servidor de aplicaciones están configurados de manera insegura.

1

El análisis de seguridad de la aplicación se realizó en nuestra aplicación utilizando la herramienta estándar de IBM AppScan y se informó sobre el problema a continuación. Soy un desarrollador de .net y no soy consciente de estos términos de seguridad. ¿Podría alguien explicarme cómo mi aplicación es vulnerable?

Es una aplicación MVC y el marco es .Net.

Problema reportado 'Acceso directo a las páginas de administración, el servidor web o el servidor de aplicaciones están configurados de una manera insegura'

Motivo: AppScan solicitó un archivo que probablemente no sea parte legítima de la aplicación. El estado de respuesta fue 200 OK. Esto indica que la prueba logró recuperar el contenido del archivo solicitado.

    
pregunta user159370 19.09.2017 - 07:59
fuente

2 respuestas

1

Las interfaces administrativas no deben estar expuestas a Internet siempre que sea posible, ya que, si bien no es necesario explotar, aún les da a los atacantes una idea del software que está utilizando y les ofrece una vía de ataque, es decir, adivinar los nombres de usuario y las contraseñas en un intento. para acceder.

Por su sonido, el análisis detectó que una página (que se cree que es una interfaz de administración) podía visitarse con éxito. La mejor manera de verificar si esto es o no un falso positivo es visitar el enlace, preferiblemente desde una máquina / dispositivo que no forma parte de su red de trabajo para determinar si está disponible externamente. Si encuentra que es accesible, normalmente se recomienda filtrar el acceso a esa página ya sea haciendo que sea accesible solo desde direcciones internas o que requiera autenticación antes de acceder al inicio de sesión con intentos fallidos que devuelvan una respuesta 403/401.

    
respondido por el deadb1t 27.09.2017 - 21:12
fuente
0

La página de administración debe estar protegida y solo los usuarios autorizados deben poder acceder a ella. Significa que su solicitud debe devolver cualquiera de estas

  • HTTP 401 Unauthorized (cuando falta la autenticación o es incorrecta), o
  • HTTP 403 Forbidden (cuando el usuario está autenticado, pero carece de autoridad para acceder a esta página)

El código de respuesta actual HTTP 200 indica que es posible acceder exitosamente a una parte restringida del sitio web (desde el contexto, supongo que sin autenticarse o autenticarse pero que aún no tiene permisos para acceder a esta parte del sitio)

    
respondido por el oleksii 19.09.2017 - 12:21
fuente

Lea otras preguntas en las etiquetas