Application Error Messages

• Categoría:

• ErrorHandling

• Referencia:

• OWASP-EH001

Descripcion:

Esta prueba evalúa si los mensajes de error generados por la aplicación durante su funcionamiento interno exponen información sensible o detallada sobre la estructura, configuración o tecnologías del sistema. Estos mensajes deben ser controlados para no proporcionar datos que puedan ser utilizados por atacantes.

Herramientas recomendadas:

• Burp Suite

Recomendaciones para realizar la prueba:

Los atacantes pueden provocar errores intencionalmente en la aplicación para extraer información contenida en los mensajes. Para evitar esto, configura Burp Suite para interceptar las respuestas HTTP de la aplicación. Genera errores intencionados en diferentes partes de la aplicación para analizar los mensajes devueltos. Ajusta los mensajes de error en la aplicación para que sean genéricos y seguros

Configura la aplicación para mostrar mensajes de error genéricos en el entorno de producción, evitando detalles técnicos. Registra los mensajes detallados en archivos de log accesibles únicamente para el equipo técnico y asegúrate de que estos logs no contengan información sensible innecesaria. Realiza pruebas periódicas para identificar mensajes de error que puedan exponer información interna del sistema. Además, utiliza un middleware o controlador centralizado para gestionar los errores de forma consistente.