Alta
Apache mod_status accesible publicamente en cda.gov.co
Categoría
Configuración expuesta
Confianza
verified
Observado
2026-04-30
OWASP
A05:2021 — Security Misconfiguration
Resumen
GET https://cda.gov.co/server-status retorna HTTP 200 con metricas internas.
Por qué importa
mod_status expone IPs internas, URLs en proceso, vhost privados y carga del servidor. Filtra topologia de red y patrones de uso, util para mapeo de superficie de ataque.
Evidencia (URL observada)
https://cda.gov.co/server-statusVerificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.
Cómo mitigar
- •Restringir endpoints de gestión (Actuator, ELMAH, /server-status, phpinfo) por IP/VPN o desactivarlos en prod.
- •Spring Boot: `management.endpoints.web.exposure.include=health,info` (mínimo) + `management.endpoint.env.show-values=NEVER`.
- •Apache mod_status: limitar a 127.0.0.1 con `<Location "/server-status">Require local</Location>`.
- •Eliminar archivos de debug (phpinfo.php, info.php) de producción.