Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

nrodescripciónestadocomentario / sugerencia
1Cross-site Request forgeryen análisis 
2Cross-site scripting (XSS)en desarollodesarrollo 
3

Redirección Abierta a Sitios no Confiables

en análisisdesarrollo 
4usuario admin:adminCredenciales débilesignoradoLa instalación de O3 sale con el usuario administrador (admin:admin) y los clientes deben cambiar la contraseña de este usuario o crear su propio usuario administrador
5https

Información enviada por canal inseguro

ignoradoLa instalación de O3 no sale con https configurado. Se sugiere a los clientes configurar un apache arriba del servidor con https.
6

Fuga de información

sugerencia de cambios para el cliente

Se debe realizar cambios cambios en la configuración de apache en el cliente:

Editar el archivo .htaccess. Se trata de un archivo de texto que puede contener una serie de variables de configuración del entorno del sitio web, se tiene que crear paginas con los mensajes de error que queremos personalizar, quedaría algo  así:

ErrorDocument 400 /directorio/error/badsyntax.html
ErrorDocument 401 /directorio/error/unauthorized.html
ErrorDocument 403 /directorio/error/forbidden.html
ErrorDocument 404 /directorio/error/notfound.html

 

También si se quiere cambiar a todo el servidor apache, se agregan esas reglas al httpd.conf.

Para deshabilitar el listado de directorios (Directory Index) en sitios web corriendo en un servidor Apache, crearemos un fichero .htaccess dentro de la carpeta concreta en la que queramos desactivar el listado de directorios, y si es para el sitio completo, lo hacemos en el raíz del sitio. Dentro del fichero .htaccess deberemos poner lo siguiente "Options -Indexes".

También se puede restringir el  index al momento de configurar el servidor :

<Directory />
Order Deny,Allow
Deny from all
</Directory>

En este caso restringe el acceso directamente a la raíz.

7

Sesiones Concurrentes

ignoradaEn instalaciones de O3 con licencia "concurrente" se permite loguearse con el mismo usuario en distintos navegadores. Con licencia "Nominada" esto no se permite.
8

Métodos HTTP Inseguros

en análisis 
9

Cifrado Inseguro

cambio pendiente en configuración del apache en el cliente

Se debe realizar cambios cambios en la configuración de apache en el cliente:

Se tiene que configurar apache para que no acepte el protocolo SSLv3, en el archivo ssl.conf se tiene que agregar a la propiedad "SSLProtocol all"  "-SSLv3" al final, quedaría así   "SSLProtocol all -SSLv3"  con el "-" le decimos que protocolos queremos que rechace por ejemplo : "SSLProtocol all -SSLv2 -SSLv3" acepta todos menos SSLv2 y SSLv3.

10

Cabeceras de seguridad HTTP no implementadas

en análisis 
11

Identificadores de Sesión enviados por url

en análisis 
12

Software Desactualizado

versión de mysql desactualizada en el clienteSe debe actualizar la versión de mysql en el cliente