El Proyecto | Sobre nosotros | Contribuir | Donaciones | Licencia
HOME Mis cursos Finalizados
◄ Anterior

A6: Configuración Incorrecta de Seguridad

Siguiente ►

Introducción

La configuración incorrecta de seguridad es una de las vulnerabilidades más comunes y críticas en aplicaciones web. Ocurre cuando una aplicación, servidor o base de datos no está configurado correctamente, permitiendo a los atacantes explotar estas configuraciones para acceder a datos sensibles o comprometer el sistema.

Conceptos Clave

  1. Configuración Predeterminada: Muchas aplicaciones y servidores vienen con configuraciones predeterminadas que no son seguras. Es crucial cambiar estas configuraciones antes de poner el sistema en producción.
  2. Actualizaciones y Parches: Mantener el software actualizado con los últimos parches de seguridad es esencial para prevenir vulnerabilidades conocidas.
  3. Configuración de Permisos: Asegurarse de que los permisos de archivos y directorios estén configurados correctamente para evitar accesos no autorizados.
  4. Deshabilitación de Funcionalidades Innecesarias: Deshabilitar servicios, puertos y funcionalidades que no son necesarios para reducir la superficie de ataque.
  5. Gestión de Errores y Logs: Configurar adecuadamente la gestión de errores y logs para no revelar información sensible.

Ejemplos Prácticos

Ejemplo 1: Configuración Predeterminada de un Servidor Web

Muchos servidores web vienen con configuraciones predeterminadas que pueden ser inseguras. Por ejemplo, Apache HTTP Server puede tener habilitados módulos innecesarios que podrían ser explotados.

# Archivo de configuración de Apache (httpd.conf)

# Deshabilitar módulos innecesarios
LoadModule status_module modules/mod_status.so
LoadModule info_module modules/mod_info.so

# Configuración segura
<Directory />
    Options None
    AllowOverride None
    Require all denied
</Directory>

Explicación:

  • Deshabilitar módulos innecesarios: Los módulos mod_status y mod_info pueden proporcionar información sensible sobre el servidor y deben deshabilitarse si no son necesarios.
  • Configuración segura del directorio raíz: Se establece que no se permiten opciones ni sobrescrituras, y se deniega el acceso a todos por defecto.

Ejemplo 2: Gestión de Errores

Una configuración incorrecta de la gestión de errores puede revelar información sensible a los atacantes.

// Archivo de configuración de PHP (php.ini)

// Deshabilitar la visualización de errores en producción
display_errors = Off

// Registrar errores en un archivo de log
log_errors = On
error_log = /var/log/php_errors.log

Explicación:

  • Deshabilitar la visualización de errores: En un entorno de producción, los errores no deben mostrarse al usuario final para evitar revelar información sensible.
  • Registrar errores en un archivo de log: Los errores deben registrarse en un archivo de log para que los administradores puedan revisarlos y solucionarlos sin exponer información sensible.

Ejercicio Práctico

Ejercicio: Configuración Segura de un Servidor Web

Objetivo: Configurar un servidor web Apache de manera segura.

Instrucciones:

  1. Deshabilitar todos los módulos innecesarios.
  2. Configurar permisos de directorios para que solo el directorio public_html sea accesible.
  3. Configurar la gestión de errores para que no se muestren al usuario final y se registren en un archivo de log.

Solución:

# Archivo de configuración de Apache (httpd.conf)

# Deshabilitar módulos innecesarios
# LoadModule status_module modules/mod_status.so
# LoadModule info_module modules/mod_info.so

# Configuración segura del directorio raíz
<Directory />
    Options None
    AllowOverride None
    Require all denied
</Directory>

# Configuración segura del directorio public_html
<Directory "/var/www/public_html">
    Options Indexes FollowSymLinks
    AllowOverride None
    Require all granted
</Directory>

# Configuración de gestión de errores
ErrorLog "/var/log/apache2/error_log"
LogLevel warn

Explicación:

  • Deshabilitar módulos innecesarios: Los módulos mod_status y mod_info están comentados para deshabilitarlos.
  • Configuración segura del directorio raíz: Se deniega el acceso a todos los directorios por defecto.
  • Configuración segura del directorio public_html: Se permite el acceso solo al directorio public_html.
  • Configuración de gestión de errores: Los errores se registran en un archivo de log y el nivel de log se establece en warn.

Conclusión

La configuración incorrecta de seguridad es una vulnerabilidad crítica que puede ser explotada fácilmente si no se toman las medidas adecuadas. Es esencial revisar y asegurar todas las configuraciones antes de poner una aplicación en producción. Mantener el software actualizado, configurar permisos correctamente y gestionar errores de manera segura son prácticas fundamentales para proteger las aplicaciones web.

En el siguiente tema, exploraremos otra vulnerabilidad crítica: Cross-Site Scripting (XSS).

◄ Anterior
Siguiente ►

Curso de OWASP: Directrices y Estándares para la Seguridad en Aplicaciones Web

Módulo 1: Introducción a OWASP

Módulo 2: Principales Proyectos de OWASP

Módulo 3: OWASP Top Ten

Módulo 4: OWASP ASVS (Application Security Verification Standard)

Módulo 5: OWASP SAMM (Software Assurance Maturity Model)

Módulo 6: OWASP ZAP (Zed Attack Proxy)

Módulo 7: Buenas Prácticas y Recomendaciones

Módulo 8: Ejercicios Prácticos y Casos de Estudio

Módulo 9: Evaluación y Certificación

El Proyecto | Sobre nosotros | Contribuir | Donaciones | Licencia
© Copyright 2024. Todos los derechos reservados