User Error Messages

• Categoría:

• ErrorHandling

• Referencia:

• OWASP-EH002

Descripcion:

La prueba verifica que los mensajes de error mostrados a los usuarios no expongan información sensible sobre el sistema o la aplicación. Mensajes de error mal diseñados pueden proporcionar pistas valiosas a los atacantes sobre las tecnologías, configuraciones o posibles vulnerabilidades del sistema.

Herramientas recomendadas:

• Burp Suite

Recomendaciones para realizar la prueba:

Los atacantes pueden analizar los mensajes de error generados por la aplicación para recopilar información sobre las tecnologías utilizadas (tipo de base de datos, servidor web o frameworks), rutas de archivos o problemas de configuración. Información que puede ser usada para planear ataques más dirigidos y efectivos. Se recomienda configurar Burp Suite para interceptar las respuestas del servidor, generar errores intencionados (por ejemplo, ingresando datos inválidos) para analizar los mensajes devueltos y corregir cualquier mensaje que revele información sensible o técnica.

Diseña mensajes de error genéricos para los usuarios finales, evitando incluir detalles técnicos. Los detalles específicos de los errores deben registrarse en los archivos de registro (logs) del servidor para ser analizados por el equipo técnico. Implementa una página de error personalizada para manejar errores comunes y revisa periódicamente los mensajes de error generados por la aplicación para asegurarte de que no exponen información sensible.