Si está evaluando una aplicación como parte de un ejercicio pentesting, ¿cómo lidia con la funcionalidad del sitio roto? ¿Deben ignorarse los problemas?
¿Es seguro mantener los errores funcionales en un sistema?
Las funcionalidades dañadas en una aplicación web no son una amenaza de seguridad per se , pero pueden ser una. Para usted como probador de penetración, busque:
A medida que todas y cada una de las líneas de código (y, por lo tanto, cada característica, ya sea que funcione o no) aumente la superficie de ataque de la aplicación, el cliente debe evitar la implementación (parcialmente) de las características rotas en sus servidores.
Si la aplicación carece de requisitos, por ejemplo: debería haber habido una opción de restablecimiento de contraseña , entonces lo mejor que puede hacer es informar esto a su cliente, pero ciertamente este no es su trabajo.
Cuando la aplicación cumple con los requisitos para esta etapa, y está lista para la producción, entonces cualquier cosa que encuentre es una vulnerabilidad y debe ser parcheada antes del lanzamiento.
Si está ayudando con el análisis de vulnerabilidad en las primeras etapas de desarrollo (ramas de desarrollo), debe intervenir lo antes posible para evitar un mayor desarrollo sobre una base debilitada.
Realmente depende mucho de los tipos de errores funcionales que estés experimentando. Dos ejemplos
1) Se supone que la aplicación muestra algún módulo o panel con datos adicionales, pero esto no aparece. Es bastante probable que en sí mismo sea benigno, aunque los problemas en cualquier lugar pueden ser indicativos de una mayor probabilidad de problemas de seguridad no relacionados. Después de todo, si los programadores no pueden mantener un alto nivel con respecto a los requisitos funcionales visibles, ¿cuál será su estándar con requisitos como la seguridad que son invisibles para el negocio?
2) Obtiene un error en la base de datos cuando el usuario ingresa% * ^ & # $ en un formulario en línea. Es probable que esto justifique una investigación adicional, y podría indicar una falta peligrosa de validación o desinfección de entrada.
Yo agregaría que cada vez que una aplicación falla o se comporta de una manera inesperada, esto se debe a que la aplicación ha entrado en un estado imprevisto (ya menudo indefinido, impredecible). Esto no necesariamente aumenta la superficie de ataque, sin embargo el hecho de que se haya vuelto impredecible significa que (para todos los efectos) la superficie de ataque tiene efectivamente
Lea otras preguntas en las etiquetas web-application penetration-test threats