??HIGHOWASP #5

?? Security Misconfiguration

La vulnerabilidad más comión. Configuraciones por defecto inseguras, servicios innecesarios habilitados, headers de seguridad faltantes y errores expuestos.

?

�Que buscar?

  • Credenciales por defecto (admin:admin, root:root)
  • Páginas de error con stack traces
  • Directory listing habilitado
  • Headers de seguridad faltantes (CSP, HSTS, X-Frame-Options)
  • Servicios innecesarios (phpMyAdmin público, consolas de debug)
  • Permisos de archivos incorrectos
??

Detección

Comandos? Test
# Verificar headers de seguridad
curl -I https://target.com

# Buscar archivos expuestos
/.git config
/.env
/phpinfo.php
/server-status
/web.config

# Nikto scan
nikto -h https://target.com
???

Headers Seguros

HTTP Headers? Recomendados
Strict-Transport-Security: max-age=31536000; includeSubDomains
Content-Security-Policy: default-src 'self'
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissións-Policy: geolocation=(), microphone=()