Full path disclosure

Descripción

A partir de la divulgación de ruta completa (full path disclosure), un atacante puede conocer la estructura del sistema de archivos del servidor web. Esta información le brinda al atacante detalles sobre el sistema operativo utilizado y también puede ofrecerle detalles adicionales sobre las tecnologías que utiliza la aplicación. Un atacante podría utilizar esta información para limitar los ataques y las técnicas a las tecnologías utilizadas por la aplicación, lo que podría facilitar la búsqueda y explotación de una vulnerabilidad.

Clasificación

Tipo

Valor

OWASP Top 10 2017

A6:2017 - Security Misconfiguration

OWASP Top 10 2021

A5:2021 - Security Misconfiguration

Common Weakness Enumeration (CWE)

209

Impacto

Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Puntuación: 3,7
Calificación: Bajo

El impacto puede cambiar según el contexto de la vulnerabilidad.

Recomendaciones

Implementar manejo adecuado de errores.
Asegúrese de que los mensajes de error que se muestran a los usuarios no expongan datos críticos, pero sigan siendo lo suficientemente detallados para permitir una respuesta adecuada al usuario.
Administre las excepciones de manera centralizada.
Asegúrese de que todo el comportamiento inesperado se maneje correctamente dentro de la aplicación.
Asegúrese de que las excepciones se registren de manera que brinden suficiente información para que los equipos de soporte, control de calidad, análisis forense o respuesta a incidentes comprendan el problema.
Pruebe y verifique cuidadosamente el código de manejo de errores.

Referencias

AnteriorInicio SiguienteInsecure Direct Object References (IDOR)

Última actualización hace 1 año

¿Te fue útil?