Media
Patron tipo password/api_key/secret detectado en HTML de ibague.gov.co
Categoría
Secretos expuestos
Confianza
verified
Observado
2026-04-30
OWASP
A02:2021 — Cryptographic Failures
Resumen
Inspeccion automatica del HTML detecta patrones que parecen credenciales hardcoded. Requiere validacion manual.
Por qué importa
Si confirma, expone secretos via inspeccion del DOM. Buena practica: no entregar credenciales al cliente; usar tokens cortos firmados por backend.
Cómo mitigar
- •Rotar inmediatamente las credenciales expuestas (no rellenar las mismas).
- •Auditar logs de uso de la credencial para identificar accesos no autorizados.
- •Bloquear el archivo con regla del WebServer (nginx: `location ~ /\.env { deny all; }`; Apache: `<Files ~ "^\.env">Require all denied</Files>`).
- •Considerar gestor de secretos (HashiCorp Vault, AWS Secrets Manager) en vez de archivos planos.