Buenos días,
Haciendo algunas pruebas de seguridad de moodle aparecieron algunos hallazgos que quisiera compartir con ustedes y que quizá ustedes me ayuden a saber si esto tiene alguna solución o no.
El primer Hallazgo es:
Existen directorios que permiten ser indexados. Lo anterior permite a un atacante realizar un mapa del sitio, lo que facilitará buscar informacíón que pueda estar desprotegida. Algunos casos concretos son: calendar, lang, pix.
El segundo hallazgo es:
Se tiene acceso al archivo htaccess, el cual puede ser usado para restringir el acceso a determinados archivos, impedir la indexación de los archivos d eun directorio, redireccionar, personalizar las páginas de error o impedir el acceso a determinadas IP, lo cual permite a un atacante obtener información privilegiada que puede ser aprovechada.
El tercer hallazgo es:
El archivo cron tiene la posibilidad de ser ejecutado remotamente por usuarios no autorizados.
Esto anterior tiene alguna solución? tienen conocimiento acerca de ésto?
Muchas gracias por su ayuda.
Marcela.
