OASAM-CONF-003: Default and backup files

Descripción

En esta fase el atacante busca la presencia de versiones anteriores renombradas de archivos modificados, archivos de inclusión que son cargados en el lenguaje de programación utilizado y pueden ser descargados en código fuente o incluso copias de seguridad manuales o automatizadas en forma de archivos comprimidos.

En el caso de Android, estos ficheros pueden ser dejados por error en la estructura del fichero APK.

Riesgos

Todos estos archivos pueden brindar al atacante acceso al funcionamiento interno, puertas traseras, interfaces administrativos o incluso credenciales para conectar al interfaz administrativo o al servidor de base de datos.

Recomendaciones

Es recomendable antes de empaquetar una aplicación Android, asegurarse que los ficheros que forman parte de la misma son estrictamente necesarios, y que no se incluye por error ningún fichero que contenga información sensible o que no sea necesario para el uso de la aplicación.

Referencias

1. https://blog.buguroo.com/?p=643
2. https://www.owasp.org/index.php/4.3.4_Review_Old,_Backup_and_Unreferenced_Files_for_Sensitive_Information_(OTG-CONFIG-004)