es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

  • es.davy.ai/
  • Programación /
  • Fuga de información de encabezado de respuesta HTTP en errores de servidor (Encabezados detallados)

Fuga de información de encabezado de respuesta HTTP en errores de servidor (Encabezados detallados)

01 Jun, 2023 Programación

En el pasado, he tratado problemas de seguridad relacionados con los Banners de Servicio Predeterminados/Encabezados Detallados/Fugas de Información a través de los Encabezados HttpResponse. Estos problemas son bastante comunes, y usualmente algo así aparece en un servidor Asp.Net – IIS.

Servidor: Microsoft-IIS/10.0

X-AspNet-Version: 4.0.30319

X-Powered-By: ASP.NET

Este tipo de problemas son muy comunes, y generalmente son bastante sencillos de resolver mediante una actualización del archivo web.config o una regla URL Rewrite para eliminar los encabezados detallados.

Sin embargo, recientemente me topé con un problema en el que, cuando el Servidor encuentra un error, estos encabezados no son eliminados. Por ejemplo, un error 404 (no encontrado) seguirá teniendo estos encabezados agregados. De hecho, la mayoría de las respuestas de error no son capaces de eliminar correctamente los encabezados de fuga de información. Investigué un poco y descubrí que este problema no está muy bien documentado, de hecho nunca se ha mencionado específicamente en uno de nuestros Pen-Tests.

Me pregunto si otros desarrolladores han encontrado este problema específico de fuga de información en los Encabezados HttpResponse cuando el código de respuesta es un error. Si es así, ¿cómo lo solucionaron? Estoy usando tecnologías Microsoft, Asp.Net, IIS, pero todavía estoy interesado en saber si otras tecnologías/servidores tienen este problema.

Tags:  , , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Tratando la Fuga de Información en las Cabeceras HttpResponse

    Como experto en TI especializado en asp.net, iis, http-headers, verbose, es posible que haya encontrado antes un problema común de seguridad relacionado con las Pancartas de Servicio por Defecto / Cabeceras verbosas / Fuga de Información a través de las Cabeceras HttpResponse. Este problema es bastante frecuente y se manifiesta típicamente en cabeceras como Server: Microsoft-IIS/10.0, X-AspNet-Version: 4.0.30319, y X-Powered-By: ASP.NET.

    Para abordar este problema, se puede implementar una actualización de web.config o una regla URLRewrite para eliminar las cabeceras verbosas. Sin embargo, existe un problema menos conocido que puede surgir cuando el servidor encuentra un error. En este caso, estas cabeceras no se eliminan de la respuesta. Por ejemplo, un error 404 (no encontrado) seguirá teniendo las cabeceras añadidas a pesar del error.

    Este problema no está bien documentado y apenas se menciona en las pruebas de penetración. Por lo tanto, hay poco orientación sobre cómo resolver este problema. Sin embargo, como experto en TI experimentado, es posible que se haya encontrado con él y desee buscar soluciones de otros desarrolladores, especialmente aquellos que trabajan en diferentes tecnologías y servidores.

    Por lo tanto, si ha tratado este problema antes, por favor comparta su experiencia y cómo lo resolvió. Alternativamente, si tiene alguna idea o visión sobre cómo evitar la fuga de estas cabeceras en las respuestas de error, por favor compártala.

Comments are closed.