Alta
ICBF: rutas inexistentes terminan en busqueda HTTP 200
Categoría
Configuración expuesta
Estado
ActivoConfianza
verified
Observado
2026-06-27
OWASP
A05:2021 — Security Misconfiguration
Resumen
Rutas inexistentes o nombres sensibles como /web.config.bak, /aws.json y una ruta aleatoria redirigen a /buscar?search=... y terminan en HTTP 200; /.env devuelve 403.
Por qué importa
Responder 200 para rutas inexistentes reduce observabilidad: dificulta distinguir rutas reales de busquedas automaticas y puede ocultar exposiciones reales entre falsos positivos.
Trazabilidad
Primera aparición
2026-06-27
Revisión
2026-06-27
Publicación
2026-06-27
Solución
—
Primera aparicion conocida en findings.json2026-06-27
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27
Cómo mitigar
- •Restringir endpoints de gestión (Actuator, ELMAH, /server-status, phpinfo) por IP/VPN o desactivarlos en prod.
- •Spring Boot: `management.endpoints.web.exposure.include=health,info` (mínimo) + `management.endpoint.env.show-values=NEVER`.
- •Apache mod_status: limitar a 127.0.0.1 con `<Location "/server-status">Require local</Location>`.
- •Eliminar archivos de debug (phpinfo.php, info.php) de producción.