-
Notifications
You must be signed in to change notification settings - Fork 5
/
OWASP_WSTG_ASVS_es.json
2168 lines (2168 loc) · 281 KB
/
OWASP_WSTG_ASVS_es.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
[
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/01-Information_Gathering/01-Conduct_Search_Engine_Discovery_Reconnaissance_for_Information_Leakage"
],
"locale": "es",
"title": "Divulgación de información sensible indexada en buscadores web u otras fuentes públicas",
"vulnType": "OWASP WSTG",
"description": "<p>Los motores de búsqueda pueden utilizarse para realizar el reconocimiento de sitios y aplicaciones web. Existen elementos directos e indirectos en el descubrimiento y reconocimiento de motores de búsqueda: los métodos directos están relacionados con la búsqueda en los índices y el contenido asociado de las cachés, mientras que los métodos indirectos están relacionados con el aprendizaje de información sensible sobre el diseño y la configuración mediante la búsqueda en foros, grupos de noticias y sitios web.</p><p>Utilizando motores de búsqueda como Google, DuckDuckGo o Bing es posible encontrar información potencialmente sensible como:</p><ul><li><p>Diagramas y configuraciones de red.</p></li><li><p>Mensajes archivados y correos electrónicos de administradores u otro personal clave.</p></li><li><p>Procedimientos de inicio de sesión y formatos de nombres de usuario.</p></li><li><p>Nombres de usuario, contraseñas y claves privadas.</p></li><li><p>Archivos de configuración de terceros o servicios en la nube.</p></li><li><p>Contenido de mensajes de error reveladores.</p></li><li><p>Versiones de desarrollo, pruebas, pruebas de aceptación del usuario (UAT) y versiones de prueba de las aplicaciones.</p></li></ul>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Antes de publicar una aplicación, es esencial tener en cuenta la sensibilidad de los datos expuestos en ella para evitar la divulgación accidental de información sensible.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/02-Fingerprint_Web_Server",
"https://cwe.mitre.org/data/definitions/200.html",
"https://wiki.owasp.org/index.php/Testing_for_Web_Application_Fingerprint_(OWASP-IG-004)"
],
"locale": "es",
"title": "Revelación de información sensible en cabeceras HTTP",
"vulnType": "OWASP WSTG",
"description": "<p>Esta situación se produce cuando la aplicación revela el tipo y/o la versión de un componente interno que se está utilizando revelando información en las cabeceras del protocolo HTTP. A través de esta información, se puede revelar el sistema operativo, uno de sus servicios (web, correo, transferencia de archivos...), o uno de sus componentes (PHP, mod_proxy, WebDAV...).</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Para evitar este tipo de divulgación de la información, es necesario ocultar la información que aparece en las cabeceras del protocolo.Para evitar este tipo de divulgación de la información, es necesario ocultar la información que aparece en las cabeceras del protocolo.</p><p>Una corrección, que suele ser una actualización del mismo o la aplicación de un parche específico, suele ser necesaria para solucionar las vulnerabilidades publicadas de los componentes detectados y requiere atenerse a las recomendaciones del fabricante del software vulnerable para resolver las vulnerabilidades.</p><p>Habría que decidir si se deja de ofrecer el servicio hasta que se encuentre una solución o se corre el riesgo de hacerlo incluso en ausencia de una solución publicada.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/v42/4-Web_Application_Security_Testing/01-Information_Gathering/08-Fingerprint_Web_Application_Framework"
],
"locale": "es",
"title": "Revelación de información sensible en las cookies de las aplicaciones",
"vulnType": "OWASP WSTG",
"description": "<p>La configuración de las cookies expone información sensible tanto en el nombre preestablecido de la cookie como en su contenido, lo que conduce a esta vulnerabilidad. Por ejemplo, una cookie con el nombre del software con el que se creó.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Para evitar este tipo de divulgación de información, es necesario ocultar los datos que aparecen en las cookies o alterar su nombre o contenido.</p><p>Para solucionar las vulnerabilidades divulgadas públicamente de los componentes detectados, suele ser necesario seguir las recomendaciones del fabricante para resolver las vulnerabilidades, solución que suele implicar una actualización del software o la aplicación de un parche concreto.</p><p>Habría que decidir si dejar de ofrecer el servicio hasta que se encuentre una solución o arriesgarse a hacerlo incluso en ausencia de una solución publicada.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/03-Review_Webserver_Metafiles_for_Information_Leakage",
"https://cwe.mitre.org/data/definitions/200.html",
"https://developers.google.com/search/docs/advanced/robots/intro"
],
"locale": "es",
"title": "Divulgación de información sensible en el archivo \"robots.txt",
"vulnType": "OWASP WSTG",
"description": "<p>Algunos programas utilizan robots araña para navegar automáticamente por los sitios web en un esfuerzo por indexarlos. Cualquier usuario puede acceder al archivo \"robots.txt\", que se utiliza para especificar los directorios y recursos que el administrador desea que se indexen y los que no. La configuración de este archivo debe manejarse con especial precaución porque puede revelar qué recursos son sensibles.</p><p>El archivo \"robots.txt\" contiene recursos sensibles que podrían ser utilizados por un atacante para lanzar ataques más sofisticados y precisos utilizando los datos recopilados.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>El archivo \"robots.txt\" no debe utilizarse como método para restringir el acceso a las zonas inseguras de la aplicación. Más allá de su protección frente a robots de tipo araña, el acceso a estas secciones debe controlarse adecuadamente frente a posibles ataques.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/03-Review_Webserver_Metafiles_for_Information_Leakage",
"https://cwe.mitre.org/data/definitions/200.html"
],
"locale": "es",
"title": "Divulgación de información sensible en el archivo 'sitemap.xml",
"vulnType": "OWASP WSTG",
"description": "<p>Un desarrollador u organización puede proporcionar detalles sobre los recursos disponibles en la aplicación y sus conexiones en el archivo \"sitemap.xml\".</p><p>El archivo \"sitemap.xml\" contiene recursos sensibles que pueden ser utilizados por un atacante para lanzar ataques más avanzados y precisos utilizando los datos que ha recopilado.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Se aconseja eliminar cualquier dato sensible del archivo \"sitemap.xml\" que no sea necesario para el desarrollo de la aplicación.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/03-Review_Webserver_Metafiles_for_Information_Leakage",
"https://cwe.mitre.org/data/definitions/200.html"
],
"locale": "es",
"title": "Divulgación de información sensible en el archivo \"security.txt",
"vulnType": "OWASP WSTG",
"description": "<p>Una norma propuesta permite que las páginas web especifiquen las políticas de seguridad y la información de contacto en el archivo \"security.txt\".</p><p>El archivo \"security.txt\" contiene información sensible que podría ser utilizada por un atacante para lanzar ataques más sofisticados y precisos utilizando los datos recopilados.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Se aconseja eliminar todos los datos privados del archivo \"security.txt\" que no sean necesarios para el desarrollo de la aplicación.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/03-Review_Webserver_Metafiles_for_Information_Leakage",
"https://cwe.mitre.org/data/definitions/200.html"
],
"locale": "es",
"title": "Revelación de información sensible en el archivo 'humans.txt'",
"vulnType": "OWASP WSTG",
"description": "<p>El archivo \"humans.txt\" es un proyecto para conocer mejor a las personas que crean un sitio web.</p><p>El archivo \"humans.txt\" contiene información sensible que podría ser utilizada por un atacante para lanzar ataques más sofisticados y precisos utilizando los datos recopilados.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Se aconseja borrar todos los datos privados del archivo \"humans.txt\" que no sean necesarios para el desarrollo de la aplicación.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/05-Review_Webpage_Content_for_Information_Leakage",
"https://cwe.mitre.org/data/definitions/540.html"
],
"locale": "es",
"title": "Revelación de información sensible en el código fuente",
"vulnType": "OWASP WSTG",
"description": "<p>Esta situación se produce cuando el análisis de un archivo que se ha cargado en un servidor web revela información relacionada con el servidor que puede utilizarse para planificar nuevos ataques, como el tipo y la versión de las aplicaciones que se están utilizando, los componentes o extensiones que están en uso, las credenciales...</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Para evitar fugas de información sensible, hay que modificar el código fuente HTML que envía el servidor.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/497.html"
],
"locale": "es",
"title": "Revelación de información sensible porque el modo de depuración está activado",
"vulnType": "OWASP WSTG",
"description": "<p>En ocasiones es posible mostrar datos técnicos o secretos comerciales dentro de la aplicación utilizando un \"parámetro de depuración habilitado\". Como resultado, el atacante aumenta el tamaño de su superficie de ataque al conocer mejor el funcionamiento de la aplicación. Habilitar la bandera de depuración puede ocasionalmente incluso resultar en ataques de ejecución de código (versiones antiguas de werkzeug)</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Las aplicaciones de producción nunca deberían generar información interna como trazas de pila y mensajes de error, a menos que la envíen directamente a un registro que el usuario final no pueda ver. Antes de escribirlo en el archivo de registro, todo el texto de los mensajes de error debe estar codificado con entidades HTML para evitar posibles ataques de secuencias de comandos entre sitios contra el visor de registros.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/05-Review_Webpage_Content_for_Information_Leakage",
"https://cwe.mitre.org/data/definitions/200.html"
],
"locale": "es",
"title": "Divulgación de información sensible (genérico)",
"vulnType": "OWASP WSTG",
"description": "<p>Una contraseña, por ejemplo, es una información sensible que puede ser valiosa por sí misma o utilizarse para lanzar otros ataques más graves (como obtener un mensaje de error incontrolado). El contenido de un mensaje de error puede ser utilizado por un atacante para apoyar el lanzamiento de un ataque diferente, más centrado. Un intento de explotar un fallo de enumeración de directorios o de path traversal, por ejemplo, podría revelar la ruta completa a la aplicación instalada.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Cree zonas \"seguras\" dentro del sistema donde puedan definirse claramente los límites de confianza. No permitas que ninguna información sensible traspase las líneas de confianza, y extrema las precauciones siempre que interactúes con un compartimento fuera de una zona segura.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/200.html",
"https://cwe.mitre.org/data/definitions/359.html"
],
"locale": "es",
"title": "Revelación de credenciales (fuga de credenciales)",
"vulnType": "OWASP WSTG",
"description": "<p>Ha sido posible verificar y comprobar la existencia de archivos que contienen información sensible, como credenciales válidas para acceder a otros sistemas, en diversos puntos finales. No es necesario ningún tipo de cookie o sistema de autenticación anterior para acceder a estas credenciales.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Independientemente del software para el que se utilicen estas credenciales de usuario, nunca se aconseja exponer archivos sensibles que expongan credenciales de usuario.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/798.html"
],
"locale": "es",
"title": "Uso de credenciales codificadas",
"vulnType": "OWASP WSTG",
"description": "<p>Para su propio cifrado interno de datos, la comunicación saliente con componentes externos y la autenticación entrante, el software tiene credenciales codificadas, como una contraseña o una clave criptográfica. Con frecuencia, las credenciales codificadas producen una brecha de seguridad considerable que permite a un atacante eludir la configuración de autenticación establecida por el administrador del software.</p>",
"observation": "<ul><li><p>Control de acceso: Bypass de mecanismo de protección: Si se utilizan contraseñas codificadas, es casi seguro que usuarios malintencionados obtendrán acceso a la cuenta en cuestión.</p></li><li><p>Control de acceso: Ejecución no autorizada de código o comandos: Esta debilidad puede llevar a la exposición de recursos o funcionalidades a actores no intencionados, posiblemente proporcionando a los atacantes información sensible o incluso ejecutar código arbitrario.</p></li></ul>",
"remediation": "<p>En lugar de secretos y claves de API estáticos, utilice testigos de sesión.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/05-Review_Webpage_Content_for_Information_Leakage",
"https://cwe.mitre.org/data/definitions/200.html",
"https://capec.mitre.org/data/definitions/118.html"
],
"locale": "es",
"title": "Revelación de información sensible en los metadatos de los archivos disponibles en la aplicación.",
"vulnType": "OWASP WSTG",
"description": "<p>El término \"metadatos\" se refiere a la información sobre un documento que es principalmente de naturaleza descriptiva. También puede incluir información sobre administración y gestión.</p><p>El conjunto de datos que caracterizan o definen una información concreta a la que están vinculados se conoce como metadatos. Al mejorar la información a la que están vinculados, los metadatos hacen que la interpretación de esa información por parte de un ordenador sea mucho más completa y mejoran la recuperación de documentos.</p><p>A través de sus metadatos, se ha descubierto que se han utilizado para extraer información sensible.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Se aconseja eliminar los metadatos de todos los archivos disponibles en la aplicación antes de hacerlos accesibles a la red para solucionar esta vulnerabilidad.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/02-Fingerprint_Web_Server",
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/04-Enumerate_Applications_on_Webserver",
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/08-Fingerprint_Web_Application_Framework"
],
"locale": "es",
"title": "Divulgación de información sensible en contenidos predeterminados",
"vulnType": "OWASP WSTG",
"description": "<p>Esto ocurre cuando los archivos por defecto se dejan abiertos tras la instalación de un servicio o aplicación. Debido al tipo de información que divulgan, como el tipo y la versión del servidor Web que se está utilizando, la existencia de archivos predeterminados en un servidor Web supone una amenaza.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Para solucionarlo, hay que eliminar todos los archivos predeterminados que no sean necesarios para el funcionamiento del servidor, incluidas las páginas predeterminadas que se instalaron después del servidor.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/04-Enumerate_Applications_on_Webserver",
"https://cwe.mitre.org/data/definitions/538.html",
"https://www.owasp.org/index.php/Full_Path_Disclosure"
],
"locale": "es",
"title": "Revelación de rutas y directorios internos del servidor",
"vulnType": "OWASP WSTG",
"description": "<p>Este hecho se produce siempre que se puede determinar la ruta absoluta de un servidor web o de una aplicación alojada en él mediante cualquier mecanismo, como el envío de un mensaje de error, el seguimiento del envío de parámetros, etc.</p><p>Se puede encontrar el directorio absoluto del servidor, donde se almacena el contenido de la web.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Dependiendo del tipo de fallo que haya provocado la revelación, el mejor curso de acción variará. Si se obtuvo a raíz de un mensaje de error, es esencial cambiar estos mensajes de error del servidor por un mensaje genérico que se limite a informar de una situación anormal sin entrar en más detalles sobre su causa. Es necesario alterar la lógica de la aplicación para que sólo se muestren las rutas relativas o no se muestren en absoluto si esa ruta se ha hecho pública mediante un parámetro de la aplicación.</p><p>Se aconseja cambiar los mensajes de error del servidor por un mensaje genérico que simplemente informe de que algo es anormal sin entrar en más detalles sobre su causa.</p><p>Para ello debe utilizarse el fichero de configuración.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
"category": "Information Gathering",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/04-Enumerate_Applications_on_Webserver",
"https://cwe.mitre.org/data/definitions/548.html"
],
"locale": "es",
"title": "Listado de directorios",
"vulnType": "OWASP WSTG",
"description": "<p>El listado de directorios es una función que, cuando está activada, hace que los servidores web listen el contenido de un directorio cuando no hay ningún archivo de índice (por ejemplo, index.php o index.html). Por lo tanto, si se realiza una solicitud a un directorio en el que el listado de directorios está activado y no hay ningún archivo de índice, aunque haya archivos de una aplicación web, el servidor web envía un listado de directorios como respuesta.</p><p>Cuando esto ocurre hay un problema de fuga de datos, y los atacantes pueden usar estos datos para construir otros ataques, incluyendo vulnerabilidades de ataque directo como XSS. Esto puede ser útil en entornos de desarrollo, pero no es una buena práctica para servidores de producción.</p><p>El hecho de que un servidor web permita listar un directorio tiene varias implicaciones de seguridad:</p><ul><li><p>Permite a los usuarios descargar ciertos archivos o acceder a ciertos directorios que de otra forma no sería posible.</p></li><li><p>Puede mostrar información que ayude a un atacante a averiguar detalles técnicos sobre el servidor web.</p></li><li><p>Muestra todo el contenido del directorio, sin discriminar entre los archivos que pueden ser públicos y los que deben permanecer privados.</p></li></ul><p>Esto suele ser accidental, ya que un servidor web por defecto muestra un listado de directorios en caso de que el archivo índice no sea válido o no exista.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de ficheros o directorios: Exponer el contenido de un directorio puede hacer que un atacante acceda al código fuente o proporcionarle información útil para idear exploits, como las horas de creación de los archivos o cualquier información que pueda estar codificada en los nombres de los archivos. El listado de directorios también puede comprometer datos privados o confidenciales.</p></li></ul>",
"remediation": "<p>Configurar correctamente. Los servidores web, ya sean NGINX, Apache o IIS, deben configurarse para que no se permita ni el listado de directorios ni la navegación del usuario por las rutas.Por ejemplo, en un servidor web Apache, es necesario crear un archivo .htaccess en el directorio de la aplicación correspondiente para desactivar el listado de directorios. Las siguientes líneas pueden añadirse al archivo httpd.conf o sustituirse por las que ya existen:</p><p><Directory /{YOUR DIRECTORY}>Options FollowSymLinks</Directory></p><p>Como puede ver en el código de ejemplo anterior, para desactivar de forma segura la función de listado de directorios en un servidor web Apache, debe eliminar las sentencias Indexes y MultiViews.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N",
"category": "SSL/TLS encryption",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/04-Enumerate_Applications_on_Webserver",
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/09-Testing_for_Weak_Cryptography/01-Testing_for_Weak_Transport_Layer_Security",
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/09-Testing_for_Weak_Cryptography/04-Testing_for_Weak_Encryption",
"https://cwe.mitre.org/data/definitions/311.html",
"https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Strict_Transport_Security_Cheat_Sheet.html",
"https://cheatsheetseries.owasp.org/cheatsheets/Transport_Layer_Protection_Cheat_Sheet.html",
"https://wiki.owasp.org/index.php/Testing_for_Weak_SSL/TLS_Ciphers,_Insufficient_Transport_Layer_Protection_(OTG-CRYPST-001)"
],
"locale": "es",
"title": "Ausencia de cifrado SSL/TLS",
"vulnType": "OWASP WSTG",
"description": "<p>En lugar del protocolo HTTPs, se utiliza HTTP para comunicarse con el servidor web. Para impedir que un atacante lea o altere los datos enviados entre el cliente y el servidor, éstos deben estar cifrados y protegidos. El método más común para hacerlo es a través de HTTPS, que sustituye el protocolo Transport Layer Security (TLS) por el protocolo Secure Socket Layer (SSL). Al mostrar un certificado digital de confianza, el servidor puede utilizar TLS para mostrar al cliente que está conectado al servidor correcto.</p><p>A lo largo de los años, se ha identificado un gran número de debilidades criptográficas en los protocolos SSL y TLS, así como en los cifrados que utilizan. Además, muchas de las implementaciones de estos protocolos también han presentado graves vulnerabilidades. Por lo tanto, es importante comprobar que los sitios no sólo implementan TLS, sino que lo hacen de forma segura.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: Un atacante puede ser capaz de descifrar los datos utilizando ataques de fuerza bruta.</p></li></ul>",
"remediation": "<p>El servidor web debe estar configurado para soportar HTTPs. Además, es práctico utilizar el encabezado HSTS y cambiar todas las peticiones HTTP al protocolo HTTPs.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N",
"category": "SSL/TLS encryption",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/09-Testing_for_Weak_Cryptography/01-Testing_for_Weak_Transport_Layer_Security",
"https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/09-Testing_for_Weak_Cryptography/03-Testing_for_Sensitive_Information_Sent_via_Unencrypted_Channels",
"https://cwe.mitre.org/data/definitions/16.html",
"https://cwe.mitre.org/data/definitions/319.html",
"https://capec.mitre.org/data/definitions/117.html"
],
"locale": "es",
"title": "Contenido mixto",
"vulnType": "OWASP WSTG",
"description": "<p>Los contenidos cargados mediante el protocolo HTTP son utilizados por la aplicación web, que utiliza el protocolo HTTPs. Dado que cualquier dato cargado a través de HTTP puede ser interceptado y alterado por un atacante, esta práctica se considera insuficiente.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>El servidor web debe estar configurado para soportar HTTPs. Además, es práctico utilizar el encabezado HSTS y cambiar todas las peticiones HTTP al protocolo HTTPs.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N",
"category": "SSL/TLS encryption",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/09-Testing_for_Weak_Cryptography/04-Testing_for_Weak_Encryption",
"https://cwe.mitre.org/data/definitions/310.html",
"https://cwe.mitre.org/data/definitions/327.html"
],
"locale": "es",
"title": "Algoritmos de cifrado débiles",
"vulnType": "OWASP WSTG",
"description": "<p>Numerosos fallos en la configuración del servidor web del servicio SSL/TLS podrían conducir a una comunicación insegura entre el cliente y el servidor.</p><p>Se considera que los algoritmos de cifrado utilizados por el servicio SSL/TLS que se ejecuta en el servidor son débiles o presentan vulnerabilidades conocidas.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li><li><p>Control de acceso: Modificación de datos de aplicación: Un atacante puede engañar a un usuario para que realice acciones enmascaradas y ocultas a la vista del usuario. El impacto varía ampliamente, dependiendo de la funcionalidad de la aplicación subyacente. Por ejemplo, en una aplicación de redes sociales, el clickjacking podría utilizarse para engañar al usuario para que cambie la configuración de privacidad.</p></li></ul>",
"remediation": "<p>Permitir sólo conexiones TLS con cifrado considerado seguro en las versiones 1.2 o 1.3.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N",
"category": "SSL/TLS encryption",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/09-Testing_for_Weak_Cryptography/01-Testing_for_Weak_Transport_Layer_Security",
"https://cwe.mitre.org/data/definitions/326.html"
],
"locale": "es",
"title": "Uso de versiones obsoletas del protocolo SSL/TLS",
"vulnType": "OWASP WSTG",
"description": "<p>Para impedir que un atacante lea o altere los datos enviados entre el cliente y el servidor, es necesario cifrarlos y protegerlos. El método más popular para hacerlo es HTTPS, que sustituye el anticuado protocolo SSL (Secure Socket Layer) por el TLS (Transport Layer Security). Mostrando un certificado digital de confianza, el servidor puede utilizar TLS para mostrar al cliente que está conectado al servidor correcto.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>En el servidor web, las variantes inseguras del protocolo SSL/TLS deben estar desactivadas.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N",
"category": "SSL/TLS encryption",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/09-Testing_for_Weak_Cryptography/01-Testing_for_Weak_Transport_Layer_Security"
],
"locale": "es",
"title": "Renegociación segura iniciada por el cliente",
"vulnType": "OWASP WSTG",
"description": "<p>En el lado del servidor, en comparación con el lado del cliente, se utilizan más recursos durante la negociación de la conexión SSL/TLS. En caso de que el servidor permita al cliente solicitar una renegociación de la conexión, un atacante podría aprovechar esta característica para enviar numerosas solicitudes de negociación, consumiendo recursos del servidor y posiblemente provocando una denegación de servicio (DoS).</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Para solucionar la vulnerabilidad, se aconseja aplicar el parche más reciente. Es esencial actualizar a la versión 0.9.8l o posterior en los sistemas que ejecuten OpenSSL. Por otro lado, también es posible deshabilitar el inicio de la renegociación por parte del cliente como mitigación sin necesidad de actualización.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N",
"category": "SSL/TLS encryption",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/09-Testing_for_Weak_Cryptography/01-Testing_for_Weak_Transport_Layer_Security",
"https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/09-Testing_for_Weak_Cryptography/04-Testing_for_Weak_Encryption",
"https://cwe.mitre.org/data/definitions/16.html"
],
"locale": "es",
"title": "Certificado digital no fiable",
"vulnType": "OWASP WSTG",
"description": "<p>El certificado digital del servidor es inseguro y poco fiable debido a algunos parámetros incorrectos, lo que aumenta el riesgo de confidencialidad o fiabilidad para el sistema.</p>",
"observation": "<ul><li><p>Otro: Impacto técnico: Varía según el contexto</p></li></ul>",
"remediation": "<p>Se aconseja crear un certificado digital que los navegadores reconozcan como fiable (emitido por una autoridad reconocida, dentro del periodo de validez y con el nombre común del certificado igual al nombre del sitio Web que ofrece los servicios).</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:N",
"category": "SSL/TLS encryption",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/299.html"
],
"locale": "es",
"title": "Comprobación incorrecta de revocación de certificados (grapado OCSP)",
"vulnType": "OWASP WSTG",
"description": "<p>Para detener los ataques man-in-the-middle a los usuarios de sus aplicaciones, siempre debe poder recuperar rápidamente estos certificados cuando su autoridad de certificación pierda la confianza.</p>",
"observation": "<ul><li><p>Control de acceso: Obtención de privilegios o suplantación de identidad: La confianza puede asignarse a una entidad que no es quien dice ser.</p></li><li><p>Otro: Otros: Pueden integrarse datos procedentes de una fuente no fiable (y posiblemente maliciosa).</p></li><li><p>Confidencialidad: Lectura de datos de aplicación: Los datos pueden ser revelados a una entidad que se haga pasar por una entidad de confianza, lo que da lugar a la divulgación de información.</p></li></ul>",
"remediation": "<p>El archivo keyset del ordenador seguro de firma, que es también donde se almacenan las copias firmadas y sin firmar de la zona, contiene el ancla de confianza para la zona en cuestión. El procedimiento de firma incluye la creación automática de este archivo.</p><p>Una lista de revocación de certificados (CRL) es una lista, creada y firmada por una autoridad de certificación (CA), que contiene números de serie de certificados que han sido emitidos por esa CA y que están actualmente revocados. Además del número de serie de los certificados revocados, la CRL también contiene el motivo de la revocación de cada certificado y el momento en que se revocó el certificado. El número de serie de cada certificado revocado se guarda en la base de datos de la CA y se publica en la CRL hasta que el certificado caduca.</p><p>La entrada CRL para el certificado revocado se elimina una vez que ha caducado, y la CA es entonces libre de eliminar el certificado de su base de datos. El certificado revocado suele permanecer en la CRL durante un periodo de publicación tras la expiración del certificado. Siempre debe tener acceso a este conocimiento para poder actuar con rapidez.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "SSL/TLS encryption",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/299.html"
],
"locale": "es",
"title": "Certificados CA",
"vulnType": "OWASP WSTG",
"description": "<p>Una organización que emite certificados digitales se conoce como autoridad de certificación (CA) en el campo de la criptografía. Un certificado digital da fe de que el sujeto del certificado es propietario de una clave pública. Una CA puede fallar ocasionalmente y ser eliminada del navegador. Si su aplicación utiliza un certificado emitido por esta CA, se producirán conexiones TLS no fiables.</p><p>Un certificado de identidad que está firmado por la misma entidad cuya identidad certifica se conoce como certificado autofirmado. Esta frase no tiene nada que ver con quién o qué ha sido el responsable de llevar a cabo el proceso de firma. Un certificado autofirmado es aquel que ha sido firmado utilizando una clave privada que pertenece al emisor.</p><p>En los acuerdos típicos de infraestructura de clave pública (PKI), una firma digital de una autoridad de certificación (CA) da fe de que un certificado de clave pública concreto es válido. Cada CA tiene una o varias claves raíz, y los certificados asociados a esas claves públicas son \"\"anclas de confianza\"\" que utilizan un tipo especial de certificados autofirmados. El establecimiento de la confianza en el certificado raíz de la CA depende de procedimientos que van más allá de la comprobación de su firma digital.</p>",
"observation": "<ul><li><p>Control de acceso: Obtención de privilegios o suplantación de identidad: La confianza puede asignarse a una entidad que no es quien dice ser.</p></li><li><p>Otro: Otros: Pueden integrarse datos procedentes de una fuente no fiable (y posiblemente maliciosa).</p></li><li><p>Confidencialidad: Lectura de datos de aplicación: Los datos pueden ser revelados a una entidad que se haga pasar por una entidad de confianza, lo que da lugar a la divulgación de información.</p></li></ul>",
"remediation": "<p>Instale un certificado de confianza de una CA raíz de confianza en el servidor.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/306.html"
],
"locale": "es",
"title": "Garantizar la seguridad general",
"vulnType": "OWASP WSTG",
"description": "<p>Debido al hecho de que recibe mucha atención durante el desarrollo, el mecanismo de autenticación principal es frecuentemente una buena funcionalidad reforzada. Sin embargo, este no suele ser el caso de los mecanismos de autenticación secundarios, como las funciones de olvido de contraseña u otras rutas alternativas que podrían dar lugar a una autenticación satisfactoria de la aplicación.</p>",
"observation": "<ul><li><p>Otro: Otros: Exponer una funcionalidad crítica proporciona esencialmente a un atacante el nivel de privilegio de esa funcionalidad. Las consecuencias dependerán de la funcionalidad asociada, pero pueden ir desde la lectura o modificación de datos sensibles, el acceso a funcionalidades administrativas u otras privilegiadas, o posiblemente incluso la ejecución de código arbitrario.</p></li></ul>",
"remediation": "<p>Asegúrese de que todas las funciones de autenticación de la identidad de la cuenta (como actualizar el perfil, contraseña olvidada, token desactivado/perdido, servicio de asistencia o IVR) que podrían permitirle recuperar el acceso a su cuenta son al menos tan seguras contra la piratería informática como el método de autenticación principal.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/01-Test_Network_Infrastructure_Configuration",
"https://cwe.mitre.org/data/definitions/477.html"
],
"locale": "es",
"title": "Versión del sistema operativo obsoleta (vulnerabilidades asociadas conocidas)",
"vulnType": "OWASP WSTG",
"description": "<p>Cuando se puede determinar la versión del sistema operativo del servidor que ejecuta la aplicación, se produce este problema.</p><p>Cualquier tipo de información relativa a la tecnología que sustenta la aplicación web debe mantenerse siempre en secreto para dificultar o directamente impedir que, una vez conocida esta información, se puedan planificar ataques dirigidos contra este software.</p>",
"observation": "<ul><li><p>Otro: Degradación de calidad: El atacante está utilizando una función que no se actualiza</p></li></ul>",
"remediation": "<p>Se aconseja actualizar el sistema operativo a la versión más reciente.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/01-Test_Network_Infrastructure_Configuration",
"https://cwe.mitre.org/data/definitions/477.html"
],
"locale": "es",
"title": "Dependencias y bibliotecas obsoletas",
"vulnType": "OWASP WSTG",
"description": "<p>Los investigadores de seguridad notifican y almacenan en la lista CVE las vulnerabilidades que encuentran en bibliotecas, módulos, marcos de trabajo, plataformas o sistemas operativos. Dado que la lista está disponible para todo el mundo, proporciona acceso a cualquier atacante que pretenda comprometer una aplicación web obsoleta.</p>",
"observation": "<ul><li><p>Otro: Mantenibilidad reducida: El atacante podría encontrar vulnerabilidades de componentes obsoletos y utilizarlas para explotar nuevos vectores de ataque.</p></li></ul>",
"remediation": "<p>El principal consejo es utilizar siempre las dependencias y bibliotecas más recientes que ofrezca el fabricante. Además, se recomienda encarecidamente utilizar herramientas como OWASP dependency check al ejecutar las bibliotecas y módulos de la aplicación a través del SDLC. Este programa analiza las bibliotecas y módulos importados en busca de CVE conocidas.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/05-Enumerate_Infrastructure_and_Application_Admin_Interfaces",
"https://cwe.mitre.org/data/definitions/16.html"
],
"locale": "es",
"title": "Identificación de los paneles de gestión",
"vulnType": "OWASP WSTG",
"description": "<p>No es aconsejable que los paneles de administración o de autenticación de las distintas aplicaciones sean de acceso público en Internet. Por lo tanto, sería conveniente restringir el acceso a los paneles de administración o autenticación a conexiones VPN (Red Privada Virtual) siempre que sea posible.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Se aconseja utilizar VPN para conectarse a los recursos de la organización en lugar de abrir paneles de administración o autenticación a Internet.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/05-Enumerate_Infrastructure_and_Application_Admin_Interfaces",
"https://cwe.mitre.org/data/definitions/16.html"
],
"locale": "es",
"title": "Configuración del servidor no reforzada",
"vulnType": "OWASP WSTG",
"description": "<p>Cualquier parte de la pila de aplicaciones, incluidos los servicios de red, la plataforma, el servidor web, el servidor de aplicaciones, la base de datos, los frameworks, el código personalizado, las máquinas virtuales preinstaladas, los contenedores o el almacenamiento, es susceptible de sufrir errores de configuración de seguridad.</p><p>Los atacantes suelen obtener acceso no autorizado a determinados datos o funcionalidades del sistema gracias a estos fallos. En ocasiones, estos fallos pueden comprometer todo el sistema. Los requisitos de protección de las aplicaciones y los datos determinan el impacto empresarial.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Aplicar procedimientos de instalación seguros, como:</p><ul><li><p>Un proceso de hardening repetible que haga que sea rápido y fácil desplegar otro entorno que esté debidamente bloqueado. Los entornos de desarrollo, control de calidad y producción deben configurarse de forma idéntica, utilizando credenciales diferentes en cada entorno. Este proceso debe automatizarse para minimizar el esfuerzo necesario para configurar un nuevo entorno seguro.</p></li><li><p>Una plataforma mínima sin características, componentes, documentación y muestras innecesarias. Eliminar o no instalar características y frameworks no utilizados.</p></li><li><p>Una tarea para revisar y actualizar las configuraciones adecuadas a todas las notas de seguridad, actualizaciones y parches como parte del proceso de gestión de parches. En particular, revisar los permisos de almacenamiento en la nube.</p></li><li><p>Una arquitectura de aplicaciones segmentada que proporcione una separación eficaz y segura entre componentes o inquilinos, con segmentación, contenedorización o grupos de seguridad en la nube (ACL).</p></li><li><p>Envío de directivas de seguridad a los clientes, por ejemplo, encabezados de seguridad.</p></li><li><p>Un proceso automatizado para verificar la eficacia de las configuraciones y ajustes en todos los entornos.</p></li></ul>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/02-Test_Application_Platform_Configuration",
"https://cwe.mitre.org/data/definitions/532.html"
],
"locale": "es",
"title": "Información sensible en registros accesibles",
"vulnType": "OWASP WSTG",
"description": "<p>Un log es un registro de las actividades que tienen lugar en las redes y sistemas de una organización. Los registros se componen de entradas de registro, y cada entrada de un registro contiene detalles sobre un evento específico que ha tenido lugar en un sistema o red.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Se recomienda mantener los registros en una ubicación separada y no en el propio servidor web. Esto también facilita la agregación de registros de diferentes fuentes que hacen referencia a la misma aplicación (como los de una granja de servidores web) y también facilita el análisis de registros (que puede requerir mucha CPU) sin afectar al propio servidor.</p><p>También se recomienda implementar una rotación de logs asegurando que:</p><ul><li><p>Los logs se mantengan durante el tiempo definido en la política de seguridad, ni más ni menos.</p></li><li><p>Los logs se compriman una vez rotados (esto es una conveniencia, ya que significará que se almacenarán más logs para el mismo espacio disponible en disco).</p></li><li><p>Los permisos del sistema de archivos de los archivos de registro rotados son los mismos (o más estrictos) que los de los propios archivos de registro. Por ejemplo, los servidores web necesitarán escribir en los registros que utilizan, pero en realidad no necesitan escribir en los registros rotados, lo que significa que los permisos de los archivos pueden cambiarse en el momento de la rotación para evitar que el proceso del servidor web los modifique.</p></li><li><p>Algunos servidores pueden rotar los registros cuando alcanzan un determinado tamaño. Si esto ocurre, asegúrese de que un atacante no pueda forzar la rotación de los registros para ocultar su rastro.</p></li></ul><p>Por último, implante un control de acceso para que la información del registro de eventos nunca sea visible para los usuarios finales y analice los registros periódicamente, por ejemplo, en función de los mensajes de error:</p><ul><li><p>Mensajes de error 40x (no encontrado). Un gran número de ellos procedentes de la misma fuente podría indicar que se está utilizando una herramienta de exploración CGI contra el servidor web.</p></li><li><p>Mensajes 50x (error del servidor). Estos pueden ser una indicación de que un atacante está abusando de partes de la aplicación que fallan inesperadamente. Por ejemplo, las primeras etapas de un ataque de inyección SQL producirán estos mensajes de error cuando la consulta SQL no esté bien construida y su ejecución falle en la base de datos de back-end.</p></li></ul><p>Las estadísticas o los análisis de registros no deben generarse, ni almacenarse, en el mismo servidor que produce los registros. De lo contrario, un atacante podría, a través de una vulnerabilidad del servidor web o de una configuración inadecuada, acceder a ellos y recuperar información similar a la que revelarían los propios archivos de registro.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/04-Review_Old_Backup_and_Unreferenced_Files_for_Sensitive_Information",
"https://cwe.mitre.org/data/definitions/200.html",
"https://cwe.mitre.org/data/definitions/530.html"
],
"locale": "es",
"title": "Identificación de archivos de copia de seguridad",
"vulnType": "OWASP WSTG",
"description": "<p>Los archivos que no están relacionados con la aplicación pero que se crean como resultado de la edición de archivos de la aplicación, después de hacer copias de seguridad mientras se están utilizando, o por dejar archivos obsoletos o sin referencia en el árbol web son una fuente importante de vulnerabilidad. La edición sobre la marcha y otras tareas administrativas en servidores web de producción pueden dejar involuntariamente copias de seguridad que fueron creadas automáticamente por el editor mientras se editaban o por el administrador mientras comprimía un grupo de archivos para crear una copia de seguridad.</p><p>La edición de archivos puede dejar copias de seguridad automáticas de tipo .bak, .sav, .old o ~. El servidor web no tiene por defecto definida una interpretación para este tipo de ficheros, por lo que el resultado suele ser o bien mostrar su contenido o bien proceder a su descarga.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Para eliminar el riesgo, es necesario eliminar el archivo de copia de seguridad descubierto. Es necesario buscar de forma rutinaria en el servidor archivos con las extensiones.bak,.bac,.sav,.old,.BAK,.BAC,.SAV,.OLD,.tar,.gz, y.tgz y eliminarlos del servidor para solucionar este tipo de defecto de forma general.Para evitar que el navegador descargue el archivo o muestre su contenido, también se aconseja configurar el servidor web para que sea capaz de entender estas extensiones.Si la raíz del documento se encuentra en un sistema de archivos que hace uso de esta tecnología, las instantáneas del sistema de archivos no deberían ser accesibles a través de la web. Configure su servidor web para denegar el acceso a tales directorios, por ejemplo, en Apache debería utilizarse una directiva de ubicación como ésta:</p><p><Location ~ \".snapshot\">Order deny,allowDeny from all</Location></p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/06-Test_HTTP_Methods",
"https://cwe.mitre.org/data/definitions/16.html"
],
"locale": "es",
"title": "Métodos HTTP inseguros habilitados",
"vulnType": "OWASP WSTG",
"description": "<p>HTTP dispone de diversas técnicas para realizar operaciones en el servidor web (la norma HTTP 1.1 se refiere a ellas como métodos, pero también se suelen describir como verbos). Aunque GET y POST son, con diferencia, las formas más populares de acceder a los datos de un servidor web, HTTP también admite una serie de formas adicionales menos conocidas. Si el servidor web está configurado de forma incorrecta, algunas de ellas podrían utilizarse de forma maliciosa.</p>",
"observation": "<ul><li><p>Otro: Impacto técnico: Varía según el contexto</p></li></ul>",
"remediation": "<p>Los métodos que se hayan determinado como superfluos en la configuración del servidor deben desactivarse.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/07-Test_HTTP_Strict_Transport_Security",
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/12-Test_for_Content_Security_Policy",
"https://cwe.mitre.org/data/definitions/16.html",
"https://cwe.mitre.org/data/definitions/693.html",
"https://wiki.owasp.org/index.php/OWASP_Secure_Headers_Project",
"https://owasp.org/www-project-top-ten/2017/A6_2017-Security_Misconfiguration"
],
"locale": "es",
"title": "Ausencia de cabeceras HTTP de seguridad",
"vulnType": "OWASP WSTG",
"description": "<p>Las cabeceras de seguridad se implementan como cabeceras de respuesta HTTP que limitan el potencial de explotación de vulnerabilidades del lado del cliente al indicar al navegador cómo comportarse en circunstancias específicas. La configuración de seguridad completa necesaria para establecer una conexión segura con el cliente no está presente en las respuestas del servidor.</p>",
"observation": "<ul><li><p>Control de acceso: Bypass de mecanismo de protección: Se pueden eludir las comprobaciones de control de acceso a datos o funciones específicas del usuario.</p></li></ul>",
"remediation": "<p>Se recomienda la implementación de todas las cabeceras HTTP de seguridad en las respuestas del servidor. Los valores recomendados son:</p><ul><li><p>Strict-Transport-Security (HSTS): max-age=31536000; includeSubDomains.</p></li><li><p>Content-Security-Policy: default-src https: 'self'.</p></li><li><p>X-XSS-Protección:1</p></li><li><p>X-Frame-Options: 'DENY' (si no es posible, 'SAMEORIGIN').</p></li><li><p>X-Content-Type-Options: nosniff.</p></li><li><p>Cache-Control: no-store.</p></li><li><p>Referrer-Policy: \"no-referrer\" (o \"same-origin\").</p></li><li><p>Política de permisos: Define las funciones mínimas permitidas y deniega las demás.</p></li></ul>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/07-Test_HTTP_Strict_Transport_Security",
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/12-Test_for_Content_Security_Policy",
"https://cwe.mitre.org/data/definitions/16.html",
"https://cwe.mitre.org/data/definitions/693.html",
"https://wiki.owasp.org/index.php/OWASP_Secure_Headers_Project",
"https://owasp.org/www-project-top-ten/2017/A6_2017-Security_Misconfiguration"
],
"locale": "es",
"title": "Ausencia de cabecera HSTS (HTTP Strict Transport Security)",
"vulnType": "OWASP WSTG",
"description": "<p>El encabezado HTTP de \"seguridad de transporte estricta\" (HSTS) se utiliza para frustrar los intentos de interceptar comunicaciones, cookies, etc. Este mecanismo permite a un servidor web declarar que sólo se permiten conexiones HTTP seguras - HTTP sobre TLS/SSL - para la comunicación con el navegador.</p>",
"observation": "<ul><li><p>Control de acceso: Obtención de privilegios o suplantación de identidad: Un atacante podría obtener acceso no autorizado al sistema recuperando las credenciales de autenticación de un usuario legítimo.</p></li></ul>",
"remediation": "<p>Define la cabecera HTTP Strict-Transport-Security, que indica al navegador cliente que redirija automáticamente las solicitudes recibidas a través del protocolo HTTP al protocolo seguro HTTPS en lugar de utilizar o forzar un protocolo inseguro.</p><p><Strict-Transport-Security: max-age=60000; includeSubDomains></p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/07-Test_HTTP_Strict_Transport_Security",
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/12-Test_for_Content_Security_Policy",
"https://cwe.mitre.org/data/definitions/16.html",
"https://cwe.mitre.org/data/definitions/693.html",
"https://wiki.owasp.org/index.php/OWASP_Secure_Headers_Project",
"https://owasp.org/www-project-top-ten/2017/A6_2017-Security_Misconfiguration"
],
"locale": "es",
"title": "Ausencia de la cabecera X-Frame-Options",
"vulnType": "OWASP WSTG",
"description": "<p>Se engaña a un usuario para que utilice una funcionalidad de un sitio web oculto haciendo clic en algún otro contenido de un sitio web falso mediante la vulnerabilidad Clickjacking. El método se basa en incrustar un botón o enlace oculto, por ejemplo, dentro de un iframe, en una página web visible y procesable (o páginas). El contenido de la página web señuelo previsto por el usuario se superpone al iframe.</p>",
"observation": "<ul><li><p>Control de acceso: Obtención de privilegios o suplantación de identidad: Un atacante podría obtener privilegios modificando o leyendo datos críticos directamente, o accediendo a funcionalidades privilegiadas insuficientemente protegidas.</p></li></ul>",
"remediation": "<p>El encabezado X-Frame-Options es compatible con la mayoría de los navegadores web actuales. Se recomienda configurar el servidor web de modo que esta cabecera esté habilitada para todas las páginas web. La opción SAMEORIGIN debe utilizarse si se prevé que la página contenga únicamente código del servidor.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/07-Test_HTTP_Strict_Transport_Security",
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/12-Test_for_Content_Security_Policy",
"https://cwe.mitre.org/data/definitions/16.html",
"https://cwe.mitre.org/data/definitions/693.html",
"https://wiki.owasp.org/index.php/OWASP_Secure_Headers_Project",
"https://owasp.org/www-project-top-ten/2017/A6_2017-Security_Misconfiguration"
],
"locale": "es",
"title": "Ausencia de la cabecera de Content Security Policy (CSP)",
"vulnType": "OWASP WSTG",
"description": "<p>Una cabecera de respuesta HTTP que aumenta la seguridad se llama Content-Security-Policy. Con la ayuda de esta cabecera, puedes limitar los recursos que el navegador puede cargar, incluyendo JavaScript, CSS y más.</p>",
"observation": "<ul><li><p>Control de acceso: Obtención de privilegios o suplantación de identidad: Un atacante podría obtener privilegios modificando o leyendo datos críticos directamente, o accediendo a funcionalidades privilegiadas insuficientemente protegidas.</p></li><li><p>Control de acceso: Bypass de mecanismo de protección: Se pueden eludir las comprobaciones de control de acceso a datos o funciones específicas del usuario.</p></li><li><p>Confidencialidad: Lectura de datos de aplicación: Los datos pueden ser revelados a una entidad que se haga pasar por una entidad de confianza, lo que da lugar a la divulgación de información.</p></li><li><p>Control de acceso: Modificación de datos de aplicación: Un atacante puede engañar a un usuario para que realice acciones enmascaradas y ocultas a la vista del usuario. El impacto varía ampliamente, dependiendo de la funcionalidad de la aplicación subyacente. Por ejemplo, en una aplicación de redes sociales, el clickjacking podría utilizarse para engañar al usuario para que cambie la configuración de privacidad.</p></li></ul>",
"remediation": "<p>Incluyendo la cabecera Content-Security-Policy en las cabeceras de respuesta HTTP, que indica al navegador que aplique las políticas deseadas, puede activar CSP en un sitio web.</p><p>Content-Security-Policy: script-src https://example.com:*;></p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/07-Test_HTTP_Strict_Transport_Security",
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/12-Test_for_Content_Security_Policy",
"https://cwe.mitre.org/data/definitions/16.html",
"https://cwe.mitre.org/data/definitions/693.html",
"https://wiki.owasp.org/index.php/OWASP_Secure_Headers_Project",
"https://owasp.org/www-project-top-ten/2017/A6_2017-Security_Misconfiguration"
],
"locale": "es",
"title": "Ausencia de la cabecera Cache Control",
"vulnType": "OWASP WSTG",
"description": "<p>Las directivas para los mecanismos de almacenamiento en caché se especifican en la cabecera HTTP Cache-Control.</p>",
"observation": "<ul><li><p>Control de acceso: Bypass de mecanismo de protección: Se pueden eludir las comprobaciones de control de acceso a datos o funciones específicas del usuario.</p></li></ul>",
"remediation": "<p>Cree una cabecera Cache-Control en su servidor web con las instrucciones necesarias. El valor del encabezado Pragma debe ser no-cache y el valor de Cache-Control debe ser no-cache, no-store si la página contiene información sensible.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/07-Test_HTTP_Strict_Transport_Security",
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/12-Test_for_Content_Security_Policy",
"https://cwe.mitre.org/data/definitions/16.html",
"https://cwe.mitre.org/data/definitions/693.html",
"https://wiki.owasp.org/index.php/OWASP_Secure_Headers_Project",
"https://owasp.org/www-project-top-ten/2017/A6_2017-Security_Misconfiguration"
],
"locale": "es",
"title": "Ausencia de la cabecera Pragma",
"vulnType": "OWASP WSTG",
"description": "<p>La cabecera Pragma es una cabecera específica de la implementación que puede afectar a la cadena petición-respuesta de varias maneras. Cuando la cabecera HTTP/1.1 Cache-Control aún no está presente, se utiliza por compatibilidad con versiones anteriores de caché HTTP/1.0.</p>",
"observation": "<ul><li><p>Control de acceso: Bypass de mecanismo de protección: Se pueden eludir las comprobaciones de control de acceso a datos o funciones específicas del usuario.</p></li></ul>",
"remediation": "<p>La cabecera Cache-Control es la forma ideal de especificar una política de almacenamiento en caché cuando se utiliza al menos HTTP/1.1 en las respuestas del servidor. La cabecera Pragma se puede eliminar.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/07-Test_HTTP_Strict_Transport_Security",
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/12-Test_for_Content_Security_Policy",
"https://cwe.mitre.org/data/definitions/16.html",
"https://cwe.mitre.org/data/definitions/693.html",
"https://wiki.owasp.org/index.php/OWASP_Secure_Headers_Project",
"https://owasp.org/www-project-top-ten/2017/A6_2017-Security_Misconfiguration"
],
"locale": "es",
"title": "Ausencia de la cabecera Feature Policy",
"vulnType": "OWASP WSTG",
"description": "<p>Los desarrolladores web pueden habilitar, deshabilitar y alterar de forma selectiva el comportamiento de APIs específicas y características web en el navegador utilizando la cabecera Feature-Policy. Tenga en cuenta que este encabezado se ha dividido en una Política de permisos y una Política de documentos, y que se considerará obsoleto una vez que todas las funciones afectadas se hayan eliminado de la Política de funciones.</p>",
"observation": "<ul><li><p>Control de acceso: Bypass de mecanismo de protección: Se pueden eludir las comprobaciones de control de acceso a datos o funciones específicas del usuario.</p></li></ul>",
"remediation": "<p>A continuación se muestra un ejemplo de cómo añadir la cabecera Feature-Policy a las respuestas del servidor web:</p><p><Feature-Policy: vibrate 'self'; usermedia *; sync-xhr 'self' https://example.com></p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/116.html"
],
"locale": "es",
"title": "Ausencia de la cabecera Referrer policy",
"vulnType": "OWASP WSTG",
"description": "<p>Las solicitudes realizadas desde un documento, y para las navegaciones fuera de ese documento se asocian con una cabecera Referer. Aunque este encabezado puede suprimirse en los enlaces con el tipo de enlace noreferrer, los autores pueden desear controlar el encabezado Referer de forma más directa por varias razones:</p><ul><li><p>Privacidad: un sitio de redes sociales tiene una página de perfil para cada uno de sus usuarios, y los usuarios añaden hipervínculos desde su página de perfil a sus grupos favoritos.Es posible que el sitio de redes sociales no desee filtrar la URL del perfil del usuario a los sitios web de las bandas cuando otros usuarios sigan esos hipervínculos (porque las URL del perfil podrían revelar la identidad del propietario del perfil).Sin embargo, algunos sitios web de redes sociales podrían querer informar a los sitios web de los grupos de que los enlaces proceden del sitio web de la red social, pero no revelar qué perfil de usuario concreto contiene los enlaces.</p></li><li><p>Seguridad: una aplicación web utiliza HTTPS y un identificador de sesión basado en URL. La aplicación web podría desear enlazar a recursos HTTPS en otros sitios web sin filtrar el identificador de sesión del usuario en la URL. Alternativamente, una aplicación web puede utilizar URLs que en sí mismas otorgan alguna capacidad. Controlar el referente puede ayudar a prevenir que estas URLs de capacidad se filtrena través de las cabeceras de referencia.</p></li></ul><p>Ten en cuenta que hay otras formas de que se filtren las URL de capacidad, y controlar el referente no es suficiente para controlar todas esas posibles filtraciones.</p><ul><li><p>Trackback: un blog alojado en HTTPS puede querer enlazar a un blog alojado en HTTP y recibir enlaces de trackback.</p></li></ul>",
"observation": "<ul><li><p>Control de acceso: Bypass de mecanismo de protección: Se pueden eludir las comprobaciones de control de acceso a datos o funciones específicas del usuario.</p></li></ul>",
"remediation": "<p>Política de referencia La cantidad de datos de referencia, que se transmiten a través de la cabecera Referer, que deben incluirse en las solicitudes está controlada por la cabecera HTTP. La cabecera Referer tiene muchas buenas intenciones, pero también tiene efectos desfavorables en la seguridad y privacidad del usuario. Los siguientes valores deben ser configurados en la política:</p><p>Referrer-Policy: no-referrerReferrer-Policy: same-origin</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/116.html"
],
"locale": "es",
"title": "Ausencia de la cabecera X-Content-Type-Options",
"vulnType": "OWASP WSTG",
"description": "<p>Para protegerse contra la descarga reflexiva de archivos y otros tipos de inyecciones, algunas devoluciones de llamada de API deben tener cabeceras de seguridad configuradas correctamente.</p><p>Además, confirme si la entrada del usuario se refleja en la respuesta de la API y si es dinámica. Si es así, para detener ataques XSS y de ejecución del método del mismo origen, debe validar y codificar la entrada.</p>",
"observation": "<ul><li><p>Control de acceso: Bypass de mecanismo de protección: Se pueden eludir las comprobaciones de control de acceso a datos o funciones específicas del usuario.</p></li></ul>",
"remediation": "<p>Sanitize la entrada de su API; escapar es insuficiente en este caso; sólo deben permitir alfanumérico. Asegúrese de que X-Content-Type-Options está presente en todas las respuestas de la API. para evitar que el navegador interprete los archivos como algo distinto a lo que el tipo de contenido ha declarado, utilice nosniff (esto ayuda a evitar XSS si la página se interpreta como html o js).</p><p>Añada</p><p>Content-Disposition: attachment; filename=\"nombrearchivo.extension\"</p><p>con la extensión correspondiente a la extensión del archivo y el tipo de contenido, en las API que no se van a renderizar</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/524.html"
],
"locale": "es",
"title": "Cabecera Anti-Caching (del lado del servidor)",
"vulnType": "OWASP WSTG",
"description": "<p>Las cabeceras anti-caching evitan que los datos sensibles se almacenen en proxies inversos, balanceadores de carga y módulos de caché de aplicaciones. Si no se implementan correctamente estas cabeceras, la información sensible puede almacenarse en la caché de estos módulos y quedar expuesta.Veamos dos ejemplos de cabeceras mal configuradas:Cache-Control: max-age=315360000, public: la respuesta puede ser almacenada por cualquier cachéCache-Control: private: la respuesta puede ser almacenada por la caché de un navegador</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li></ul>",
"remediation": "<p>Esta vulnerabilidad se reducirá si se implementan correctamente las cabeceras anti-caching. Una cabecera anti-caching usada apropiadamente se parecerá a:</p><p>Cache-Control: no-storePragma: no-cache (sólo para compatibilidad con clientes HTTP/1.0)</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/173.html"
],
"locale": "es",
"title": "Cabecera Content-Type insegura dentro de la respuesta",
"vulnType": "OWASP WSTG",
"description": "<p>Establecer las cabeceras de contenido adecuadas es crucial para reforzar la seguridad de sus aplicaciones, ya que reduce su exposición a ataques de descargas no autorizadas y a sitios web que alojan contenido cargado por el usuario que, debido a una nomenclatura inteligente, MS Internet Explorer puede confundir con archivos HTML ejecutables o dinámicos, creando fallos de seguridad.</p>",
"observation": "<ul><li><p>Control de acceso: Bypass de mecanismo de protección: Se pueden eludir las comprobaciones de control de acceso a datos o funciones específicas del usuario.</p></li></ul>",
"remediation": "<p>Un ejemplo de cabecera Content-type segura sería:</p><p>Content-Type: text/html; charset=UTF8Content-Type: application/json;</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/09-Test_File_Permission",
"https://cwe.mitre.org/data/definitions/732.html"
],
"locale": "es",
"title": "Permisos excesivos de archivos y directorios",
"vulnType": "OWASP WSTG",
"description": "<p>Si se da a un recurso una configuración de permisos que permita el acceso a un grupo de usuarios mayor del necesario, se corre el riesgo de exponer datos sensibles o permitir que personas no autorizadas modifiquen el recurso. Esto es especialmente arriesgado cuando el recurso está relacionado con la configuración o ejecución de un programa o con datos confidenciales del usuario.</p><p>Un ejemplo claro es un archivo de ejecución que puede ser ejecutado por usuarios no autorizados. Otro ejemplo es que la información de una cuenta o el valor de un token para acceder a una API (cada vez más común en los servicios web o microservicios actuales) pueda almacenarse en un archivo de configuración cuyos permisos estén configurados por defecto para ser legibles por todo el mundo desde la instalación. Estos datos sensibles pueden ser expuestos por usuarios internos malintencionados o por un atacante remoto que haya comprometido el servicio con otras vulnerabilidades, pero que tenga privilegios bajos.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El código inyectado podría acceder a datos / archivos restringidos.</p></li><li><p>Confidencialidad: Lectura de ficheros o directorios: Un atacante podría leer datos sensibles, ya sea leyendo los datos directamente desde un almacén de datos que no esté debidamente restringido, o accediendo a una funcionalidad privilegiada insuficientemente protegida para leer los datos.</p></li></ul>",
"remediation": "<p>Configurar correctamente los permisos de archivos y directorios ayudará a solucionar esta vulnerabilidad al impedir que usuarios no autorizados accedan innecesariamente a recursos vitales.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L",
"category": "Configuration and Deploy Management",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/770.html"
],
"locale": "es",
"title": "Asignación de recursos sin límites ni estrangulamiento",
"vulnType": "OWASP WSTG",
"description": "<p>En contravención de la política de seguridad prevista para ese actor, el software asigna un recurso reutilizable o un conjunto de recursos en nombre del actor sin imponer ninguna limitación sobre el tamaño o la cantidad de recursos que pueden asignarse.</p>",
"observation": "<ul><li><p>Disponibilidad: DoS: Consumo de recursos (Otros): Al asignar recursos sin límites, un atacante podría impedir que otros sistemas, aplicaciones o procesos accedieran al mismo tipo de recurso.</p></li></ul>",
"remediation": "<p>Requisitos</p><ul><li><p>Especificar claramente las expectativas mínimas y máximas de las capacidades, y dictar qué comportamientos son aceptables cuando la asignación de recursos alcanza los límites.</p></li></ul><p>Arquitectura y diseño- Limitar la cantidad de recursos accesibles a los usuarios sin privilegios. Establezca límites por usuario para los recursos. Permita que el administrador del sistema defina estos límites. Tenga cuidado de evitar 410.- Diseñar mecanismos de estrangulamiento en la arquitectura del sistema. La mejor protección es limitar la cantidad de recursos que un usuario no autorizado puede hacer gastar. Un modelo fuerte de autenticación y control de acceso ayudará a prevenir que tales ataques ocurran en primer lugar, y ayudará al administrador a identificar quién está cometiendo el abuso. La aplicación de inicio de sesión debe estar protegida contra ataques DoS tanto como sea posible. Limitar el acceso a la base de datos, quizás almacenando en caché los conjuntos de resultados, puede ayudar a minimizar los recursos gastados. Para limitar aún más el potencial de un ataque DoS, considere el seguimiento de la tasa de solicitudes recibidas de los usuarios y el bloqueo de las solicitudes que superen un umbral de tasa definido.- Asegúrese de que los protocolos tienen límites de escala específicos.- Para cualquier comprobación de seguridad que se realice en el lado del cliente, asegúrese de que estas comprobaciones se duplican en el lado del servidor, para evitar 602: Client-Side Enforcement of Server-Side Security. Los atacantes pueden eludir las comprobaciones del lado del cliente modificando los valores después de que se hayan realizado las comprobaciones, o cambiando el cliente para eliminar por completo las comprobaciones del lado del cliente. Entonces, estos valores modificados se enviarían al servidor.</p><p>Implementación- Asumir que todas las entradas son maliciosas. Utilizar una estrategia de validación de entrada de \"aceptar lo bueno conocido\", es decir, utilizar una lista de entradas aceptables que se ajusten estrictamente a las especificaciones. Rechazar cualquier entrada que no se ajuste estrictamente a las especificaciones, o transformarla en algo que sí lo haga.- A la hora de validar las entradas, hay que tener en cuenta todas las propiedades potencialmente relevantes, como la longitud, el tipo de entrada, la gama completa de valores aceptables, las entradas que faltan o sobran, la sintaxis, la coherencia entre campos relacionados y la conformidad con las reglas de negocio. Como ejemplo de lógica de reglas de negocio, \"barco\" puede ser sintácticamente válido porque sólo contiene caracteres alfanuméricos, pero no es válido si sólo se espera que la entrada contenga colores como \"rojo\" o \"azul\".- No confíe exclusivamente en la búsqueda de entradas maliciosas o malformadas. Es probable que se pase por alto al menos una entrada no deseada, sobre todo si cambia el entorno del código. Esto puede dar a los atacantes suficiente margen para eludir la validación prevista. Sin embargo, las listas negras pueden ser útiles para detectar posibles ataques o determinar qué entradas están tan malformadas que deberían rechazarse directamente.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
"category": "Identity Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/03-Identity_Management_Testing/04-Testing_for_Account_Enumeration_and_Guessable_User_Account",
"https://cwe.mitre.org/data/definitions/203.html",
"https://cwe.mitre.org/data/definitions/204.html",
"https://cwe.mitre.org/data/definitions/200.html"
],
"locale": "es",
"title": "Enumeración de cuentas (usuarios)",
"vulnType": "OWASP WSTG",
"description": "<p>Debido a errores de configuración o a elecciones de diseño intencionadas, las aplicaciones web suelen dejar claro si un nombre de usuario ya existe en el sistema. Por ejemplo, cuando se envían credenciales incorrectas, el mensaje resultante a veces puede indicar si el nombre de usuario ya existe en el sistema o si la contraseña se ha introducido incorrectamente. Un atacante puede utilizar la información recopilada para elaborar una lista de usuarios del sistema. Empleando un ataque de fuerza bruta o un ataque de nombre de usuario y contraseña por defecto, por ejemplo, esta información puede utilizarse para atacar la aplicación web.</p>",
"observation": "<ul><li><p>Confidencialidad: Lectura de datos de aplicación: El atacante puede ser capaz de leer información sensible</p></li><li><p>Control de acceso: Bypass de mecanismo de protección: Se pueden eludir las comprobaciones de control de acceso a datos o funciones específicas del usuario.</p></li></ul>",
"remediation": "<p>Existen varias recomendaciones para evitar este tipo de vulnerabilidades. La mejor solución es aplicar algunas de ellas o todas, según proceda:</p><ul><li><p>Evitar utilizar cualquier dato público (alias, email, etc.) como nombre de usuario para autenticarse en la aplicación. Estos datos deben ser privados y sólo conocidos por el usuario.</p></li><li><p>Durante la fase de desarrollo, optimiza el proceso de autenticación del usuario para evitar tiempos de respuesta \"elevados\" durante la autenticación.</p></li><li><p>No utilizar mensajes informativos que ayuden a adivinar la existencia de nombres de usuario.</p></li><li><p>Evitar comportamientos diferentes en la aplicación web en función de la existencia de nombres de usuario.</p></li><li><p>Delegue la generación de nombres de usuario a la aplicación web. El generador utilizado debe ser completamente aleatorio y nunca secuencial ya que sería predecible.</p></li></ul>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
"category": "Identity Management",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/03-Identity_Management_Testing/02-Test_User_Registration_Process",
"https://cwe.mitre.org/data/definitions/287.html"
],
"locale": "es",
"title": "Proceso de registro de usuarios inseguro",
"vulnType": "OWASP WSTG",
"description": "<p>La provisión de acceso al sistema a los usuarios está automatizada (o parcialmente automatizada) por el proceso de registro de usuarios de algunas aplicaciones web. Dependiendo de los requisitos de seguridad del sistema, los requisitos de identidad para el acceso pueden variar desde una identificación positiva hasta ninguna. Debido al tamaño de sus bases de usuarios, muchas aplicaciones públicas automatizan completamente los procesos de registro y aprovisionamiento. Un hacker podría utilizar esta vulnerabilidad para controlar otras cuentas de usuario, por ejemplo, si no se siguen las mejores prácticas a la hora de automatizar el proceso de registro.</p>",
"observation": "<ul><li><p>Control de acceso: Ejecución no autorizada de código o comandos: Esta debilidad puede llevar a la exposición de recursos o funcionalidades a actores no intencionados, posiblemente proporcionando a los atacantes información sensible o incluso ejecutar código arbitrario.</p></li></ul>",
"remediation": "<p>Se aconseja establecer requisitos de identificación y verificación acordes con los requisitos de seguridad de los datos que protegen las credenciales.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N",
"category": "Identity Management",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/384.html"
],
"locale": "es",
"title": "La función de inicio de sesión debe generar siempre un nuevo identificador de sesión.",
"vulnType": "OWASP WSTG",
"description": "<p>La aplicación debe crear una nueva cookie de sesión cada vez que un usuario se autentique correctamente.</p>",
"observation": "<ul><li><p>Control de acceso: Obtención de privilegios o suplantación de identidad: La aplicación no invalida ningún identificador de sesión existente y da a un atacante la oportunidad de robar sesiones autenticadas.</p></li></ul>",
"remediation": "<p>Después de un inicio de sesión exitoso, la funcionalidad de inicio de sesión siempre debe crear (y utilizar) un nuevo ID de sesión. Esto se hace para evitar que un atacante ataque a tus usuarios utilizando un ataque de fijación de sesión.Algunos frameworks, como las aplicaciones.net, no permiten cambiar el ID de sesión al iniciar sesión. Podrías añadir una cookie aleatoria extra con un token fuerte al iniciar sesión cuando surja este problema y almacenar el valor en una variable de sesión.</p><p>Ahora que la autenticación depende de algo más que el ID de sesión y la cookie aleatoria no puede ser predicha o fijada por un atacante, puedes comparar el valor de la cookie con la variable de sesión para prevenir la fijación de sesión.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
"category": "Authentication",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/04-Authentication_Testing/02-Testing_for_Default_Credentials",
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/04-Authentication_Testing/07-Testing_for_Weak_Password_Policy",
"https://cwe.mitre.org/data/definitions/521.html"
],
"locale": "es",
"title": "Debilidades en la política de contraseñas",
"vulnType": "OWASP WSTG",
"description": "<p>Todos los elementos de seguridad incorporados a la infraestructura tecnológica pueden quedar expuestos por una política de contraseñas laxa. Sin utilizar ninguna otra vulnerabilidad, adivinar una contraseña permitiría acceder a sistemas legítimos. Ocurre con frecuencia en los dominios de las grandes organizaciones, donde los usuarios del administrador con mayores privilegios son completamente olvidados en favor de los usuarios normales con acceso restringido a los que se aplica una estricta política de contraseñas. En otras palabras, a diferencia de un usuario con privilegios limitados, un usuario administrador puede utilizar una contraseña considerada débil. Para facilitar la conexión a los nuevos usuarios, muchos servicios vienen con nombres de usuario y contraseñas por defecto al principio. A menudo se pasa por alto el paso crucial de cambiar esta información, dejando el sistema accesible utilizando lo que se conoce como las credenciales por defecto.</p>",
"observation": "<ul><li><p>Control de acceso: Obtención de privilegios o suplantación de identidad: A medida que las contraseñas envejecen, aumenta la probabilidad de que se vean comprometidas.</p></li><li><p>Control de acceso: Obtención de privilegios o suplantación de identidad: Un atacante podría adivinar fácilmente las contraseñas de los usuarios y acceder a sus cuentas.</p></li></ul>",
"remediation": "<p>Establezca una política de contraseñas segura que exija al usuario:</p><ul><li><p>Una longitud mínima de contraseña de 8 caracteresUtilizar todos los tipos de caracteres, incluidas mayúsculas y minúsculas, números y caracteres especiales.</p></li><li><p>Hacer uso de un algoritmo de cifrado eficaz como AES-128 o SHA-256</p></li><li><p>Comprobar si la contraseña en blanco está prohibida.</p></li><li><p>Evite utilizar el identificador de usuario (o cualquier subconjunto del mismo) como contraseña.</p></li><li><p>Forzar periódicamente el cambio.</p></li><li><p>Impida que los usuarios utilicen contraseñas anteriores.</p></li></ul>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:N",
"category": "Authentication",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/263.html"
],
"locale": "es",
"title": "Sin política de rotación de contraseñas",
"vulnType": "OWASP WSTG",
"description": "<p>Algunas políticas exigen que los usuarios cambien las contraseñas periódicamente, a menudo cada 90 o 180 días.</p><p>Sin embargo, el beneficio de la caducidad de las contraseñas es discutible. Los sistemas que aplican este tipo de políticas a veces impiden a los usuarios elegir una contraseña demasiado parecida a una selección anterior.</p><p>Esta política puede resultar contraproducente. A algunos usuarios les resulta difícil idear \"buenas\" contraseñas que también sean fáciles de recordar, por lo que si se exige a la gente que elija muchas contraseñas porque tienen que cambiarlas a menudo, acaban utilizando contraseñas mucho más débiles; la política también anima a los usuarios a escribir las contraseñas. Además, si la política impide que un usuario repita una contraseña reciente, esto requiere que exista una base de datos con las contraseñas recientes de todos (o sus hashes) en lugar de tener las antiguas borradas de la memoria. Por último, los usuarios pueden cambiar su contraseña repetidamente en pocos minutos, y luego volver a cambiar a la que realmente quieren usar, eludiendo por completo la política de cambio de contraseña.</p>",
"observation": "<ul><li><p>Control de acceso: Obtención de privilegios o suplantación de identidad: A medida que las contraseñas envejecen, aumenta la probabilidad de que se vean comprometidas.</p></li></ul>",
"remediation": "<p>Sólo cuando la seguridad de la contraseña impuesta por la aplicación ya no sea lo suficientemente fuerte como para resistir ataques de fuerza bruta debido a un aumento de la potencia de cálculo, se podrá obligar a los usuarios a actualizar sus contraseñas.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:N",
"category": "Authentication",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/620.html"
],
"locale": "es",
"title": "Permitir el cambio de contraseña",
"vulnType": "OWASP WSTG",
"description": "<p>Los usuarios deben tener la opción de cambiar su contraseña siempre que sea necesario. Pensemos, por ejemplo, en una situación en la que utilicen con frecuencia la misma contraseña en distintas aplicaciones. Los usuarios deben actualizar inmediatamente su información de acceso en cada aplicación en la que se hayan registrado si su contraseña se ve comprometida. Por lo tanto, existe la posibilidad de que la cuenta de un usuario se vea comprometida si la aplicación no le da acceso a una función de actualización de contraseñas.</p>",
"observation": "<ul><li><p>Control de acceso: Bypass de mecanismo de protección: Se pueden eludir las comprobaciones de control de acceso a datos o funciones específicas del usuario.</p></li><li><p>Control de acceso: Obtención de privilegios o suplantación de identidad: A medida que las contraseñas envejecen, aumenta la probabilidad de que se vean comprometidas.</p></li></ul>",
"remediation": "<p>Las aplicaciones deben ofrecer una función que permita al usuario modificar su propia contraseña.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Authentication",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/521.html"
],
"locale": "es",
"title": "Verificar las contraseñas violadas",
"vulnType": "OWASP WSTG",
"description": "<p>A lo largo de los años, las filtraciones han dado lugar a la publicación de numerosas bases de datos que contienen credenciales robadas. Los usuarios son objeto de ataques de diccionario si seleccionan contraseñas comprometidas.</p>",
"observation": "<ul><li><p>Control de acceso: Obtención de privilegios o suplantación de identidad: Un atacante podría adivinar fácilmente las contraseñas de los usuarios y acceder a sus cuentas.</p></li></ul>",
"remediation": "<p>Compruebe que las contraseñas introducidas durante la creación de cuentas, el inicio de sesión y los cambios de contraseña se comparan con una lista de contraseñas que han estado en peligro. La aplicación debe exigir al usuario que vuelva a introducir una contraseña que no haya sido comprometida si la contraseña que eligió ya lo ha sido.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
"category": "Authentication",
"details": [
{
"references": [
"https://cwe.mitre.org/data/definitions/330.html"
],
"locale": "es",
"title": "Los secretos deben ser seguros y generados aleatoriamente",
"vulnType": "OWASP WSTG",
"description": "<p>Las contraseñas, los tokens API y las claves secretas deben generarse dinámicamente. Estos tokens pueden volverse predecibles y ser utilizados por atacantes para comprometer cuentas de usuario siempre que no se generen dinámicamente.</p>",
"observation": "<ul><li><p>Otro: Otros: Cuando un mecanismo de protección se basa en valores aleatorios para restringir el acceso a un recurso sensible, como un identificador de sesión o una semilla para generar una clave criptográfica, se podría acceder al recurso protegido adivinando el identificador o la clave.</p></li><li><p>Otro: Otros: Si el software se basa en identificadores únicos e indescifrables para identificar un recurso, un atacante podría ser capaz de adivinar el identificador de un recurso que pertenece a otro usuario. El atacante podría entonces leer el recurso, o crear previamente un recurso con el mismo ID para impedir que el programa legítimo envíe correctamente el recurso al usuario previsto. Por ejemplo, un producto podría mantener la información de sesión en un archivo cuyo nombre se basa en un nombre de usuario. Un atacante podría pre-crear este archivo para un usuario víctima, y luego establecer los permisos para que la aplicación no pueda generar la sesión para la víctima, impidiendo que la víctima utilice la aplicación.</p></li><li><p>Control de acceso: Obtención de privilegios o suplantación de identidad: Cuando un mecanismo de autorización o autenticación se basa en valores aleatorios para restringir el acceso a funcionalidades restringidas, como un ID de sesión o una semilla para generar una clave criptográfica, entonces un atacante puede acceder a la funcionalidad restringida adivinando el ID o la clave.</p></li></ul>",
"remediation": "<p>Estos valores deben generarse dinámicamente y sólo deben ser válidos una vez cuando se trate de tokens API y claves secretas.El token secreto debe ser criptográficamente \"seguro al azar\", tener al menos 120 bits de entropía efectiva, estar salado con un valor especial y generado aleatoriamente de 32 bits, y hasheado utilizando una función hashing reconocida (unidireccional).</p><p>En lugar de dar a un usuario una contraseña generada dinámicamente, las contraseñas deben ser creadas por el propio usuario. Para activar su cuenta y crear una contraseña propia, el usuario debe recibir por correo electrónico o SMS un enlace de un solo uso con un token criptográficamente aleatorio.</p>"
}
]
},
{
"cvssv3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"category": "Authentication",
"details": [
{
"references": [
"https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/04-Authentication_Testing/03-Testing_for_Weak_Lock_Out_Mechanism",
"https://cwe.mitre.org/data/definitions/804.html",
"https://cwe.mitre.org/data/definitions/645.html",
"https://cwe.mitre.org/data/definitions/1216.html",
"https://cwe.mitre.org/data/definitions/307.html"
],
"locale": "es",
"title": "Debilidades en la protección contra ataques de fuerza bruta",
"vulnType": "OWASP WSTG",
"description": "<p>Una amenaza común a la que se enfrentan los desarrolladores web es un ataque de adivinación de contraseñas conocido como ataque de fuerza bruta. Un ataque de fuerza bruta es un intento de descubrir una contraseña probando sistemáticamente todas las combinaciones posibles de letras, números y símbolos hasta descubrir la única combinación correcta que funciona. Si su sitio web requiere autenticación de usuario, es un buen objetivo para un ataque de fuerza bruta.</p><p>Un atacante siempre puede descubrir una contraseña mediante un ataque de fuerza bruta, pero el inconveniente es que podría tardar años en encontrarla. Dependiendo de la longitud y complejidad de la contraseña, podría haber billones de combinaciones posibles. Para acelerar un poco las cosas, un ataque de fuerza bruta podría comenzar con palabras del diccionario o palabras del diccionario ligeramente modificadas, ya que la mayoría de la gente las utilizará en lugar de una contraseña completamente aleatoria. Estos ataques se denominan ataques de diccionario o ataques híbridos de fuerza bruta. Los ataques de fuerza bruta ponen en peligro las cuentas de los usuarios e inundan su sitio con tráfico innecesario.</p>",