Principal

Consejos para administradores

Consejos para usuarios

Consejos prácticos

Limpie su servidor web de ejemplos inútiles

Cuando se instala el software de servidor web, por defecto se crean una serie de directorios en los que éste a menudo almacena ejemplos de programas en cgi, server side includes o php (por ejemplo, para máquinas Linux con servidores tipo NCSA), o ejemplos en ISAPI o ASP (en servidores Windows NT con IIS), módulos en perl, etc. Estos ejemplos sirven básicamente a dos propósitos:

  • Comprobar que la instalación del servidor se ha completado con éxito y que se pueden ejecutar programas para creación dinámica de páginas web.
  • Servir de guía de referencia al programador, que puede usar los ejemplos suministrados por defecto con el servidor para desarrollar a partir de ellos sus propias aplicaciones o simplemente aprender cómo se realiza alguna acción concreta.

Ahora bien, en contra de lo que pudiera pensarse a primera vista, resulta muy peligroso conservar esos ejemplos en el servidor en el directorio asignado por defecto, ya que pueden ser explotados por un atacante para entrar en el servidor. No olvide que:

  • Cualquier otra persona conoce la localización exacta en su servidor de los programas de demostración.
  • Los códigos fuente suelen acompañar a los programas de ejemplo, por lo que pueden ser examinados a fondo por cualquiera en busca de agujeros.

Si se descubriera una vulnerabilidad en alguno de ellos, podría ser víctima fácil de un ataque. Por lo tanto, si no pretende desarrollar aplicaciones o no piensa aprender con esos ejemplos, lo mejor que puede hacer es borrarlos de su servidor en cuanto haya comprobado que todos los servicios funcionan correctamente. En el caso de que le sirvan como referencia de trabajo, muévalos de sitio, de manera que no estén disponibles a través de Internet. Si no desea borrarlos ni trasladarlos de ubicación, cámbieles al menos los permisos, de manera que no pueda ejecutarlos ningún usuario que no sea Ud. o algún otro perteneciente a un grupo reducido de confianza.

Recuerde, cuantos más programas inútiles cuelguen de su servidor, mayores oportunidades ofrecerá a atacantes potenciales.

Participa con tus consejos y trucos

¿Tienes algún consejo o truco que te gustaría compartir con otros usuarios? Envíamelo y aparecerá publicado con tu nombre.

 

Copyright © 1997-1999 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.

Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.