Port open on device
Puerto abierto en el dispositivo
Descripción
La aplicación ha iniciado servidores que escuchan en localhost. El acceso al puerto abierto no está restringido a otras aplicaciones en el teléfono, lo que puede ser explotado para realizar acciones no autorizadas.
Los ataques de descarga oculta (drive-by) utilizando el navegador y el rebinding de DNS son formas de técnicas de explotación que se pueden usar para acceder a los puertos abiertos de forma remota.
Recomendación
Antes de crear un servidor local para su aplicación, considere lo siguiente:
- Evite exponer archivos confidenciales a través del servidor local.
- Implemente algún tipo de autenticación y/o autorización.
- Considere implementaciones alternativas en lugar de usar un servidor local.
- Evite escuchar en
0.0.0.0o0::0para evitar que otros usuarios en la red accedan al servidor.
Enlaces
Estándares
- OWASP_MASVS_L1:
- MSTG_NETWORK_1
- MSTG_NETWORK_2
- OWASP_MASVS_L2:
- MSTG_NETWORK_1
- MSTG_NETWORK_2
- PCI_STANDARDS:
- REQ_1_2
- REQ_2_2
- REQ_6_2
- REQ_6_3
- REQ_11_3
- OWASP_MASVS_v2_1:
- MASVS_NETWORK_1
- SOC2_CONTROLS:
- CC_2_1
- CC_4_1
- CC_7_1
- CC_7_2
- CC_7_4
- CC_7_5
- HIPAA_CONTROLS:
- SECURITY259
- SECURITY212
- SECURITY213