Accesso diretto alle pagine di amministrazione, il server Web o il server delle applicazioni sono configurati in modo non sicuro

1

Scansione di sicurezza delle applicazioni eseguita sulla nostra applicazione utilizzando lo strumento standard AppScan di IBM e il problema riportato di seguito è stato segnalato. Sono uno sviluppatore .net e ignaro di questi termini di sicurezza. Qualcuno potrebbe spiegarmi come è vulnerabile la mia applicazione.

È un'applicazione MVC e il framework è .Net.

Problema segnalato "Accesso diretto alle pagine di amministrazione, il server Web o il server delle applicazioni sono configurati in modo non sicuro."

Motivo: AppScan ha richiesto un file che probabilmente non è una parte legittima dell'applicazione. Lo stato della risposta era 200 OK. Ciò indica che il test è riuscito a recuperare il contenuto del file richiesto.

    
posta user159370 19.09.2017 - 07:59
fonte

2 risposte

1

Le interfacce amministrative non dovrebbero essere esposte a Internet laddove possibile, anche se non è necessario sfruttarle, ma fornisce agli hacker informazioni sul software che si sta utilizzando e fornisce loro una via d'attacco, ad esempio indovinando nomi utente e password in un tentativo per accedere.

A giudicare da ciò, la scansione rilevò che una pagina (che si credeva essere un'interfaccia di amministrazione) poteva essere visitata con successo. Il modo migliore per verificare se questo è un falso positivo è visitare il link da soli, preferibilmente da una macchina / dispositivo che non fa parte della rete di lavoro per determinare se è disponibile esternamente. Se ritieni che sia accessibile, normalmente si consiglia di filtrare l'accesso a quella pagina rendendola accessibile solo da indirizzi interni o richiedendo l'autenticazione prima di accedere all'accesso con tentativi non riusciti che restituiscono una risposta 403/401.

    
risposta data 27.09.2017 - 21:12
fonte
0

La pagina di amministrazione dovrebbe essere protetta e solo gli utenti autorizzati dovrebbero potervi accedere. Significa che la tua applicazione dovrebbe restituire

  • HTTP 401 Unauthorized (quando l'autenticazione è mancante o errata) o
  • HTTP 403 Forbidden (quando l'utente è autenticato, ma manca dell'autorità per accedere a questa pagina)

Il codice di risposta corrente HTTP 200 indica che è possibile accedere correttamente a una parte limitata del sito Web (dal contesto, suppongo senza essere autenticato o autenticato ma ancora privo di autorizzazioni per accedere a questa parte del sito)

    
risposta data 19.09.2017 - 12:21
fonte