systemadmin.es > Seguridad > Mensajes de error en un banco

Mensajes de error en un banco

Resulta curiosa la cantidad de información que se puede sacar de un simple error:

Error en la aplicación web de un banco

Error en la aplicación web de un banco

Se trata de un gran banco español, realmente me pensaba que estas cosas ya las tenían bien escondidas “por si a caso”, pero parece que no:

# curl -I bancoimportante.es
HTTP/1.1 200 OK
Date: Wed, 30 Dec 2009 12:17:56 GMT
Server: IBM_HTTP_Server
(...)

La parte que más me ha preocupado ha sido la fecha que aparece en el error:

Build date/time: Jun 18 2006 08:18:30

¿2006? Esto son prácticamente 4 años y realmente hay dos cosas que no me puedo creer:

  1. Un banco con la cantidad de certificaciones y controles que deba pasar salten estos errores con tanta información potencialmente valiosa para un atacante
  2. Un software no tenga ninguna vulnerabilidad en 4 años

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>