¿El código fuente de una aplicación puede contener el nombre de usuario y / o la contraseña?
En caso afirmativo, ¿cómo podemos determinarlo?
¿También qué otra información puede contener?
¿El código fuente de una aplicación puede contener el nombre de usuario y / o la contraseña?
En caso afirmativo, ¿cómo podemos determinarlo?
¿También qué otra información puede contener?
En función de su etiqueta, está hablando de aplicaciones web. No debe codificar de forma rígida los nombres de usuario, las contraseñas o las cadenas de conexión en su código fuente. Deben estar en los archivos de configuración o en su base de datos dependiendo de su plataforma y arquitectura.
Puede y debe asegurarse de que estos datos estén cifrados: .net, por ejemplo, permite el cifrado de archivos de configuración web. También debe asegurarse de que su servidor web no sirva archivos de configuración y proteja contra ataques que puedan obtenerlos, por ejemplo, ataques de recorrido de directorios, ataques de padbuster.
Eso elimina cualquier cosa seriamente confidencial de la fuente, pero recuerde no dejar copias de seguridad de la fuente en su directorio web accesible.
Con la fuente, su atacante tendrá una imagen completa de cómo funciona su aplicación, cómo se autentica, las entradas aceptadas, el manejo de errores y todo lo demás sobre su aplicación. Hay una cantidad innumerable de exploits que podrían determinar a partir de esto analizando manualmente el código o ejecutándolo a través de una herramienta de análisis estático.
En una aplicación de 3 niveles correctamente configurada, no se supone que ninguna contraseña esté codificada al código fuente.
El código fuente es como el plano azul de una casa. Si tiene el plano, puede identificar fácilmente todas las formas fáciles de ingresar y salir. De manera similar, si el código fuente está disponible, se puede reactivar para identificar vulnerabilidades para descifrar el software. Si se trata de un software comercial, la gente puede compilar y hacer su propia solución.
Los nombres de usuario y las contraseñas en el código fuente son malas prácticas y peligrosas. No importa si su código está disponible públicamente o no, un atacante que descubre esas credenciales tendrá acceso a la aplicación. En la mayoría de los casos, las credenciales codificadas tienen privilegios especiales, son difíciles de cambiar (ya que implica cambiar el código, tal vez compilar, probar y desplegar), no se pueden bloquear y, a veces, no se usa el flujo de trabajo regular en la aplicación (como el registro). . Todas esas cosas son indeseables en una aplicación web, es una puerta trasera en su aplicación
Otras cosas que son comunes para encontrar en el código fuente y que no deberían estar allí son:
4242424242424242 para tarjetas de crédito) En el caso particular del código Javascript ejecutado del lado del cliente, a veces hay comentarios en el código que revelan el funcionamiento interno de la aplicación del lado del servidor. El código de comentarios no es malo en sí mismo, pero en este caso puede dar a un atacante ciertas pistas sobre cómo funciona el sistema backend o puede describir ciertos errores identificados durante las pruebas para futuras correcciones
Lea otras preguntas en las etiquetas web-application source-code appsec