Language/Application defaults

• Categoría:

• Configuration

• Referencia:

• OWASP-CM007

Descripcion:

Prueba que evalúa la seguridad de los valores predeterminados utilizados en el lenguaje de programación o en la configuración de la aplicación. Los desarrolladores pueden utilizar configuraciones predeterminadas que no son seguras y pueden ser aprovechadas por los atacantes para comprometer la aplicación o la infraestructura. Estas configuraciones incluyen contraseñas predeterminadas, permisos por defecto o configuraciones de seguridad no optimizadas.

Herramientas recomendadas:

• Lynis

Recomendaciones para realizar la prueba:

Los atacantes explotan los valores predeterminados de la aplicación como contraseñas por defecto o configuraciones inseguras en bases de datos, servidores o servicios. Si una aplicación o sistema no ha sido configurado adecuadamente y utiliza configuraciones predeterminadas, un atacante puede acceder fácilmente a la infraestructura o manipular la aplicación para obtener información sensible o control sobre el sistema. Se recomienda instalar Lynis en el sistema que deseas auditar. Ejecuta un análisis de seguridad para detectar configuraciones predeterminadas inseguras: "sudo lynis audit system". Revisa el informe para ver si se encuentran configuraciones predeterminadas inseguras y corrige los problemas identificados.

Revisa y personaliza todas las configuraciones predeterminadas de la aplicación, especialmente contraseñas, permisos y parámetros de seguridad. Desactiva cualquier característica o servicio que no sea necesario para la operación de la aplicación. Implementa una política de gestión de contraseñas para asegurarte de que se utilicen credenciales fuertes y únicas. Además, realiza pruebas de seguridad regulares para identificar configuraciones inseguras y asegúrate de que la aplicación no dependa de valores predeterminados de desarrollo.