Si al momento de realizar la instalación de un server LAMP o XAMPP no tenemos los mínimos recaudos de seguridad, es seguro que seremos victimas de algun tipo de ataque.
OWASP tiene entre las diez vulnerabilidades principales, en el punto 6 :
A6 – Security Misconfiguration
Good security requires having a secure configuration defined and deployed for the application, frameworks, application server, web server, database server, and platform. All these settings should be defined, implemented, and maintained as many are not shipped with secure defaults .his includes keeping all software up to date, including all code libraries used by the application.
Al castellano seria básicamente, hardenizar los servicios que se instalen, ya que por defecto no vienen preparados para estar en un ambiente hostil y mantenerlos actualizados con los ultimos fix's de seguridad.
Volviendo a la configuracion de los servers LAMP ( para quienes no conocen el acronimo Linux.Apache.MySQL.PHP) cuando por error dejamos el archivo PHPINFO publico, estamos entregando información sumamente critica al posible atacante.
Este archivo provee el estado de PHP, opciones de compilación , extensiones, información del server. del entorno, versión del sistema operativo, paths, headers, entre muchos otros valores.
En Exosafe publico un ejemplo de toda la información que nos puede entregar el reporte generado, tomando como ejemplo el caso de un server perteneciente a un ISP que tiene en uno de sus servidores este archivo publico.
No comments:
Post a Comment