Crítica
Archivo de configuracion .env accesible en putumayo.gov.co
Categoría
Secretos expuestos
Confianza
verified
Observado
2026-04-30
OWASP
A02:2021 — Cryptographic Failures
Resumen
GET https://putumayo.gov.co/.env retorna HTTP 200 con sintaxis de variables de entorno. Snippet: APP_NAME="Gobernación del Putumayo" APP_ENV=production APP_KEY=base64:3lGvS1j/YPvyS+Etc98Lna24dHDYE3GsvJf3D9UZ+zg= APP_D.
Por qué importa
Los archivos .env contienen credenciales de base de datos, API keys, tokens de servicios externos, secretos de firma. Su exposicion publica permite acceso directo a sistemas backend e impersonacion frente a APIs externas.
Evidencia (URL observada)
https://putumayo.gov.co/.envVerificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.
Cómo mitigar
- •Rotar inmediatamente las credenciales expuestas (no rellenar las mismas).
- •Auditar logs de uso de la credencial para identificar accesos no autorizados.
- •Bloquear el archivo con regla del WebServer (nginx: `location ~ /\.env { deny all; }`; Apache: `<Files ~ "^\.env">Require all denied</Files>`).
- •Considerar gestor de secretos (HashiCorp Vault, AWS Secrets Manager) en vez de archivos planos.