Media
Patron tipo password/api_key/secret detectado en HTML de ibague.gov.co
Categoría
Secretos expuestos
Estado
ActivoConfianza
verified
Observado
2026-04-30
OWASP
A02:2021 — Cryptographic Failures
Resumen
Inspeccion automatica del HTML detecta patrones que parecen credenciales hardcoded. Requiere validacion manual.
Por qué importa
Si confirma, expone secretos via inspeccion del DOM. Buena practica: no entregar credenciales al cliente; usar tokens cortos firmados por backend.
Trazabilidad
Primera aparición
2026-04-30
Revisión
2026-05-17
Publicación
2026-05-17
Solución
—
Primera aparicion conocida en findings.json2026-04-30
Revision: promote2026-05-17
Publicado como hallazgo activo2026-05-17
Cómo mitigar
- •Rotar inmediatamente las credenciales expuestas (no rellenar las mismas).
- •Auditar logs de uso de la credencial para identificar accesos no autorizados.
- •Bloquear el archivo con regla del WebServer (nginx: `location ~ /\.env { deny all; }`; Apache: `<Files ~ "^\.env">Require all denied</Files>`).
- •Considerar gestor de secretos (HashiCorp Vault, AWS Secrets Manager) en vez de archivos planos.