Estado Seguropor Cristian Espinal Maya y Santiago Jiménez Londoño
Ver hallazgos
Hallazgoscf-gob-guainia-catchall
Alta

Servidor catch-all en 2 host(s) — observabilidad reducida

Categoría

Configuración expuesta

Confianza

verified

Observado

2026-04-30

OWASP

A05:2021 — Security Misconfiguration

Resumen

El portal en guainia.gov.co, www.guainia.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa

Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Cómo mitigar

  • Restringir endpoints de gestión (Actuator, ELMAH, /server-status, phpinfo) por IP/VPN o desactivarlos en prod.
  • Spring Boot: `management.endpoints.web.exposure.include=health,info` (mínimo) + `management.endpoint.env.show-values=NEVER`.
  • Apache mod_status: limitar a 127.0.0.1 con `<Location "/server-status">Require local</Location>`.
  • Eliminar archivos de debug (phpinfo.php, info.php) de producción.

Entidades afectadas (1)

Gob. GuainiaGobernación
ID: cf-gob-guainia-catchall·Origen: Consolidación (catch-all detector)