Conforme las aplicaciones web evolucionan, algunos desarrolladores dejan funcionalidades deshabilitadas. Estas frecuentemente revelan secciones previas o futuras de un sitio. Consecuentemente estas necesitan ser evaluadas y reportadas.

Aunque oficialmente están “deshabilitadas” algunas veces tales funcionalidades puede ser invocadas. Estas pueden contener debilidades significativas en seguridad, pues frecuentemente obtienen menos atención comparado con otros componentes de un sitio o aplicación.

Incluso aunque estén “deshabilitadas” tales funcionalidades podrían conducir a socavar la aplicación por completo.

Tipos de Funcionalidad Deshabilitada

Es común encontrar enlaces comentados para no aparezcan en la página o el menú. Un ciberatacante se concentra en estos porque la mayoría de las veces proporcionan enlaces hacia cosas las cuales el propietario de la aplicación no desea sean vistas.

Las páginas ocultas más antiguas contienen funcionalidad no actualizada. Debido a la parte más importante de la sesión, la autenticación y la autorización es la consistencia, encontrar páginas antiguas las cuales pueden no ser tan seguras puede permitir  un abuso de la aplicación.

Las páginas ocultas más nuevas son comúnmente encontradas antes de un sitio sea actualizado. Los desarrolladores comenzarán a subir código en preparación, y al encontrar estas páginas, se tiene la posibilidad de encontrar código el cual no está completo o aún se está siendo probando. Es común la versión de prueba de las páginas muestre información para resolución de problemas, incluidas las consultas utilizadas. Se puede utilizar esta información para lanzar ataques.

Las páginas privilegiadas son partes del sitio a las cuales no se está autorizado de acceder. Algunas aplicaciones verifican el nivel de autorización del usuario y luego muestran un menú. Si se visualiza la fuente, algunas veces se puede ver enlaces hacia páginas administrativas, las cuales están comentadas porque el usuario no tiene acceso. Al navegar por las páginas, se puede encontrar las páginas no verifican el nivel de autorización.

El código comentado generalmente se divide en dos categorías:

  • El primer tipo es el código reemplazado por código para el lado del servidor. Siendo capaz de visualizar la versión para lado del cliente, el ciberatacante puede identificar debilidades en el código.
  • El segundo tipo es el código no utilizado. Este código puede apuntar hacia funciones o áreas del sitio no utilizados. Estas secciones del sitio pueden ser una debilidad factible de explotar.

Estas funciones son interesantes por un par de razones. Primero, pueden mostrar una debilidad la cual no era antes obvia. En segundo lugar, algunas funciones para el lado del cliente se trasladan hacia el lado del servidor, y luego quedan sin efecto en el código del cliente. Esto puede proporcionar una idea sobre como funciona el código para el lado del servidor.

Fuentes:

https://www.lawinsider.com/dictionary/disabled-functionality