Es muy común e incluso recomendable, los programadores incluyan comentarios detallados y metadatos en su código fuente. Sin embargo, los comentarios y metadatos incluidos dentro del código HTML podría revelar información interna, lo cual no debería estar disponible para potenciales atacantes. La revisión de comentarios y metadatos debe ser hecho para determinar si se está fugando algún tipo de información.

Objetivos de la Prueba

Revisar los comentarios y metadatos para entender mejor la aplicación, y encontrar cualquier fuga de información.

Como Evaluar

Los comentarios HTML son frecuentemente utilizados por los desarrolladores para incluir información de depuración sobre la aplicación. Algunas veces ellos olvidan los comentarios dejándolos en producción. Los profesionales en pruebas de penetración deben buscar comentarios HTML.

Prueba de Caja Negra

Verificar el código fuente por comentarios conteniendo información sensible, lo cual puede ayudar a un atacante a ganar más indicios sobre la aplicación. Esto podría ser código SQL, nombres de usuarios y contraseñas, direcciones IP internas, o información sobre depuración.

Un profesional en pruebas de penetración podría encontrar algo como esto:

Verificar información sobre la versión HTML por números de versión validos y URLs de Definiciones de Tipos de Datos (DTD)

• "strict.dtd" - DTD estricto por defecto
• "loose.dtd" - DTD suelto
• “frameset.dtd" - DTD para documentos frameset

Algunas etiquetas Meta no proporcionan vectores activos de ataque, pero en su lugar permiten a un atacante perfilar una aplicación.

Algunas etiquetas Meta alteran las cabeceras, como “http-equiv” definida en una cabecera de respuesta HTTP sobre el atributo contenido del elemento meta.

También se debe revisar si esto puede ser utilizado para realizar ataques de inyección (por ejemplos ataques CRLF), Esto puede también ayudar a determinar el nivel de fuga de datos mediante el cache del navegador. Una etiqueta meta común es “refresh”.

Un uso común para las etiquetas Meta es especificar palabras clave o “keywords”, a ser utilizadas por el motor de búsqueda para mejorar la calidad de los resultados de búsqueda.

Aunque la mayoría de servidores web gestiones la indexación para motores de búsqueda mediante el archivo “robots.txt”, esto también puede ser manejado mediante etiquetas Meta. La etiqueta presentada a continuación advierte a los robots como realizar su trabajo.

PICS (Platform for Internet Content Selection) y PORDER (Protocol for Web Description Resources), proporcionan una infraestructura para asociar meta datos con contenido en Internet.

Prueba de Caja Gris

No aplica.

Fuentes:

https://www.owasp.org/index.php/Review_webpage_comments_and_metadata_for...(OTG-INFO-005)
https://www.robotstxt.org/
https://www.w3.org/PICS/
https://www.w3.org/TR/powder-dr/