Los comentarios pueden ser muy reveladores. Pueden incluir de todo, desde nombres de usuario y contraseñas, hasta elementos relevantes sobre la gestión, además de lenguajes particulares. Como mínimo los comentarios pueden proporcionar información la cual puede ayudar a lanzar ataques de ingeniería social. En muchos casos también pueden mostrar como funciona la aplicación en su interior ,o indicar partes de la aplicación conteniendo problemas. Por alguna razón los desarrolladores frecuentemente olvidan el usuario final puede simplemente hacer clic en "Ver código fuente", utilizando su navegador web.

Para los siguientes ejemplos únicamente se utiliza el navegador, y la funcionalidad de visualizar el código fuente.

En el primer ejemplo a través de los comentarios se expone información sobre la utilización de un plugin de WordPress de nombre WP Super Cache.

En este segundo escenario, se encuentra, una URL incluyendo entre sus diversos parámetros, un parámetro, “custid”, “user”, y “password”, los cuales tienen definidos valores.

Para el tercer ejemplo los comentarios revelan referencias hacia enlaces factibles de ser accedidos directamente, pero no mostrados en el sitio web.

En el cuarto escenario se encuentra una breve linea correspondiente a código PHP.

Reiterar la importancia de realizar este tipo de revisiones simples pero efectivas.

Fuentes:

https://owasp.org/www-project-web-security-testing-guide/v41/4-Web_Appli...
https://owasp.org/www-project-web-security-testing-guide/v42/4-Web_Appli...