Desconfiguração de segurança
Dependendo do quão grande for, se um atacante descobrir uma falha numa aplicação web proveniente de uma configuração menos boa, pode procurar mais informação sobre o sistema.
A imagem a seguir apresentada demonstra o que se designa por erro de "stack trace", onde é possível ver o código por trás da aplicação e a respetiva versão
De onde pode surgir a vulnerabilidade?
-
O software por trás da aplicação web está atualizado? Sistema operativo, Servidor Web, aplicações das bases de dados, livrarias incluidas no código
-
Funcionalidades desnecessárias ativas ou desabilitadas?
-
Contas por defeito ainda ativas? Palavras-passe alteradas com frequência ou inalteradas?
-
Como está o mecanismo de processamento dos erros? Já testou o que acontece se mandar um pedido com carateres especiais ao index da aplicação web ou testou algum tipo de request que não GET ou POST? Há alguma mensagem de erro com detalhes bastante explícitos?