Temp_MSSPLASHPage/plan_seguridad_endpoints.md

Plan de Acción: Asegurar Endpoints sin Permisos

Objetivo: Proteger los endpoints que actualmente no tienen controles de autorización adecuados para prevenir el acceso no autorizado a información sensible o funcionalidades de depuración.

1. Analizar DiagnosticController:

   • Problema: Este controlador expone información de diagnóstico del servidor y de la aplicación, lo cual representa un riesgo de seguridad. Actualmente no tiene ninguna restricción de acceso.
   • Solución Propuesta: Añadir el atributo [AbpMvcAuthorize(PermissionNames.Pages_Administration_NetworkGroups)] al controlador. Esto restringirá su uso a usuarios con permisos de administrador, utilizando una política de permisos ya existente.

2. Analizar HomeController (en SplashPage.Web.Host):

   • Problema: Este controlador redirige a la interfaz de Swagger. Aunque útil en desarrollo, en un entorno de producción, el acceso no restringido a la documentación de la API puede ser un vector de ataque.
   • Solución Propuesta: Añadir el atributo [AbpMvcAuthorize] al controlador. Esto asegurará que solo los usuarios autenticados puedan acceder a la documentación de la API.

Resumen de Cambios Propuestos:

• Archivo: src/SplashPage.Web.Host/Controllers/DiagnosticController.cs
  • Cambio: Agregar [AbpMvcAuthorize(PermissionNames.Pages_Administration_NetworkGroups)] a la clase DiagnosticController.
• Archivo: src/SplashPage.Web.Host/Controllers/HomeController.cs
  • Cambio: Agregar [AbpMvcAuthorize] a la clase HomeController.

No se tomará ninguna acción hasta que se apruebe este plan.