Este tercer artículo dedicado a los mensajes de error en aplicaciones .NET va enfocado a algo que a pesar de ser bastante evidente, sigue siendo común encontrar en auditorías de servidores web que soportan este tipo de tecnologías. En los dos artículos anteriores os dejé textos centrados en los riesgos que provocan dejar activado Trace Viewer y Elmah, permitiendo que una atacante pudiera acceder a datos sensibles de las conexiones de los usuarios. Hoy le toca el turno a las aplicaciones que tienen los mensajes de error configurados en modo DEBUG.
El modo DEBUG se configura en las aplicaciones .NET para que el programador no solo pueda obtener información explícita de los mensajes de error con los códigos de error correspondientes, sino que además se muestran las líneas de código en las que se ha producido el fallo en el servidor.
Figura 2: Errores explícitos con fugas de información y secciones de código con el modo debug ON |
Detectar que un servidor tiene estos mensajes de error activados, y por tanto levantar una alerta de seguridad en una auditoría, es tan sencillo como que en en los mensajes de error no solo aparezca la descripción detallada del error en el título, sino que aparezcan las líneas numeradas de la sección del código donde falló.
<configuration>
<system.Web></configuration>
<compilation debug="true"><system.Web>
Figura 3: Configuración de modo DEBUG ON en Errores .NET
Figura 4: Errores de aplicación en .NET cuando no hay modo Debug activado |
Para que esto estuviera correcto, se debería configurar el parámetro compilation a false. Una aplicación .NET con el modo Debug desactivado, no mostrará un mensaje de error con las líneas de código, y por tanto dará muchos menos leaks de información. Si tienes algún WAF, es probable que los mensajes de este tipo saltan todas las alertas, ya que reglas como las de Mod_Security los detectan. Cuando tu aplicación esté en producción pon el modo Debug a false sí o sí.
Saludos Malignos!
Lo mismo pasa con django, de modo que, mucho cuidado!
ResponderEliminargracias por el aporte,he llegado a este poat de casualidad y la verdad que tiene muy buena pinta este blog, tienes un post de las conversaciones de watshapp muy bueno enhorabuena por el blog
ResponderEliminarA veces un mensaje sin error puede tenerte un tiempo enorme comiéndote la cabeza para corregirlo, así que es una maravilla poder tener información.
ResponderEliminarMe has solucionado el problema que tenía cambiando de compilation a false, gracias compañero!
ResponderEliminar