Web Server Configuration
-
Categoría:
-
Configuration
-
Referencia:
-
OWASP-CM004
Descripcion:
La prueba evalúa si la configuración del servidor web es segura y sigue las mejores prácticas. Una configuración incorrecta puede exponer información sensible, permitir accesos no autorizados o abrir puertas a ataques.
Herramientas recomendadas:
Recomendaciones para realizar la prueba:
Los atacantes buscan configuraciones incorrectas como listados de directorios habilitados, encabezados HTTP mal configurados, puertos innecesariamente abiertos o permisos mal asignados en archivos y directorios. Estas fallas pueden permitirles acceder a archivos sensibles, realizar ataques de inyección o incluso tomar control del servidor. Se recomienda instalar Nikto y ejecutar un escaneo en el servidor: "nikto -h http://tu-servidor.com". Revisa el informe para identificar configuraciones inseguras y aplica las correcciones necesarias.
Recomendaciones para defenderse del ataque:
Configura el servidor web siguiendo las mejores prácticas de seguridad. Asegúrate de deshabilitar el listado de directorios, establecer encabezados HTTP seguros (como Content-Security-Policy y X-Frame-Options) y restringir los permisos de archivos y directorios. Cierra los puertos innecesarios y utiliza firewalls para filtrar el tráfico. Realiza auditorías regulares para identificar configuraciones inseguras y ajustarlas antes de que puedan ser explotadas.