Alta
Servidor catch-all en 2 host(s) — observabilidad reducida
Categoría
Configuración expuesta
Confianza
verified
Observado
2026-04-30
OWASP
A05:2021 — Security Misconfiguration
Resumen
El portal en laguajira.gov.co, www.laguajira.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.
Por qué importa
Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.
Cómo mitigar
- •Restringir endpoints de gestión (Actuator, ELMAH, /server-status, phpinfo) por IP/VPN o desactivarlos en prod.
- •Spring Boot: `management.endpoints.web.exposure.include=health,info` (mínimo) + `management.endpoint.env.show-values=NEVER`.
- •Apache mod_status: limitar a 127.0.0.1 con `<Location "/server-status">Require local</Location>`.
- •Eliminar archivos de debug (phpinfo.php, info.php) de producción.