“Cuando los riesgos de seguridad en servicios web son descubiertos por investigadores independientes en seguridad, quienes comprenden la severidad del riesgo, frecuentemente carecen de los canales para exponerlos adecuadamente. Como resultado de esto, los problemas de seguridad pueden quedar sin ser reportados. security.txt define un estándar para ayudar a las organizaciones a definir el proceso para los investigadores de seguridad divulguen las vulnerabilidades de seguridad de manera segura”.

Los archivos security.txt han sido implementados por Google, Facebook, GitHub, gobierno del Reino Unido y muchas otras organizaciones. Además, el Ministerio de Justicia del Reino Unido, la Agencia de Seguridad de Infraestructura y Ciberseguridad (EE. UU.), el gobierno francés, el gobierno italiano, el gobierno holandés y el Centro de Seguridad Cibernética de Australia respaldan el uso de archivos “security.txt”.

El archivo “security.txt” puede ser visualizado directamente a través de un navegador web, o ser descargado, para luego ser visualizado.

El archivo puede estar presente en la raíz del servidor web o en el directorio de nombre /.well-known/

https:// example. com/security.txt
https:// example. com/.well-known/security.txt

Existen múltiples razones por las cuales esto podría ser de interés en los escenarios de prueba, incluyendo:

• Identificar rutas o recursos adicionales para incluir en el descubrimiento/análisis
• Recopilación de inteligencia desde fuentes abiertas
• Encontrar información sobre Bug Bounties, etc
• Ingeniería social

Fuentes:

https://securitytxt.org/
https://www.rfc-editor.org/rfc/rfc9116.html
https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Ap...