安全錯誤配置及其對網(wǎng)絡(luò)安全的影響

瀏覽量（114757）時間：2020-09-24

術(shù)語“安全配置錯誤”非常普遍，適用于不是編程錯誤而是配置錯誤的任何安全問題。安全配置錯誤已在2017 OWASP TOP-10列表中定義為單獨的類別（A6-2017類別）。按照定義，它們可以出現(xiàn)在應(yīng)用程序堆棧的任何級別，包括網(wǎng)絡(luò)服務(wù)，平臺，Web防城港服務(wù)器，應(yīng)用程序防城港服務(wù)器，數(shù)據(jù)庫，框架，自定義代碼以及預(yù)安裝的虛擬機，容器或存儲。

讓我們看一下維護 Web 應(yīng)用程序安全性時應(yīng)注意的最常見的安全性錯誤配置。
權(quán)限寬松、缺乏強化

安全配置錯誤的最常見原因之一是用戶權(quán)限和帳戶安全設(shè)置不夠嚴(yán)格，尤其是在生產(chǎn)環(huán)境中。例如，一個常見的錯誤是使運行服務(wù)的用戶帳戶能夠運行命令行管理程序。如果是這樣，并且如果攻擊者可以某種方式訪問此用戶帳戶，則他們可以在操作系統(tǒng)中運行命令。另一個常見錯誤是將共享帳戶用于多種服務(wù)，例如，從同一帳戶運行Web防城港服務(wù)器和數(shù)據(jù)庫服務(wù)器。

為了確保安全性，生產(chǎn)服務(wù)器上的所有服務(wù)都應(yīng)使用單獨的帳戶運行，并且這些帳戶應(yīng)具有絕對最小的權(quán)限 - 僅是服務(wù)實際需要的那些權(quán)限。這種特權(quán)的安全分離使攻擊者幾乎無法執(zhí)行特權(quán)升級。
默認設(shè)置和默認密碼

安全配置錯誤的另一個非常常見的原因是信任默認設(shè)置。您不能假定專業(yè)軟件默認是安全的。您安裝的每個軟件（包括 Web 服務(wù)器，應(yīng)用程序服務(wù)器和數(shù)據(jù)庫服務(wù)器）都需要手動進行安全配置。

假設(shè)用戶可能希望從中受益，那么這種軟件通常會激活所有功能。這是一種不安全的配置，因為任何其他功能都意味著攻擊者還有其他潛在的進入點。因此，在安裝新軟件時，首先要做的就是更改默認設(shè)置并關(guān)閉所有不必要的服務(wù)，不必要的功能等。

許多公司面臨的另一個問題是使用默認帳戶和默認密碼。例如，這適用于所有管理控制臺，路由器，IoT 設(shè)備等。為了避免未經(jīng)授權(quán)的訪問，您應(yīng)該更改每個默認密碼，并且應(yīng)該知道如何創(chuàng)建安全密碼。訪問控制配置錯誤是嚴(yán)重違反安全性的主要原因之一。
公開信息

如果攻擊者發(fā)現(xiàn)您在后端使用的軟件類型，例如數(shù)據(jù)庫服務(wù)器的類型和版本號，他們將有更多的時間來嘗試查找相關(guān)漏洞。這就是為什么永遠不要向攻擊者透露任何此類信息非常重要。

配置良好的系統(tǒng)應(yīng)配置有錯誤處理，以抑制可能提示攻擊者的任何錯誤消息。您還應(yīng)該禁止顯示所有信息標(biāo)語以及任何其他可能幫助攻擊者指紋識別配置的直接或間接敏感信息。

公開過多的另一個示例是允許目錄列表。如果攻擊者可以列出 Web 服務(wù)器上目錄的內(nèi)容，則他們可以潛在地訪問許多不受保護的文件，并且這些文件可能包含敏感數(shù)據(jù)。目錄列表被認為是嚴(yán)重的訪問控制缺陷。
過時的軟件

Web 應(yīng)用程序的安全性與網(wǎng)絡(luò)的安全性不同，但是兩者緊密相關(guān)。例如，Web 服務(wù)器軟件中的錯誤被認為是網(wǎng)絡(luò)安全問題。此類錯誤經(jīng)常出現(xiàn)，其中一些可能很嚴(yán)重。這就是為什么需要使用最新的安全補丁來監(jiān)視和更新所有軟件的原因。影響 Web 應(yīng)用程序安全性并且仍然困擾著許多系統(tǒng)的網(wǎng)絡(luò)安全性錯誤的一個很好的例子是 Heartbleed 錯誤。

因此，為了維護 Web 應(yīng)用程序的安全性，定期檢查缺少的補丁非常重要，尤其是在面向公眾的軟件（例如 Web 服務(wù)器）的情況下。
安全掃描到救援

如何避免上面列出的安全性配置錯誤及其他問題？

最有效的方法是定期運行掃描，這會暴露安全問題。此類掃描應(yīng)包括生產(chǎn)系統(tǒng)和登臺系統(tǒng) - 生產(chǎn)配置通常基于登臺配置。

測試安全性的最佳方法是使用專業(yè)的掃描程序，該掃描程序不僅可以發(fā)現(xiàn)網(wǎng)絡(luò)安全配置錯誤（大多數(shù)掃描程序都會發(fā)現(xiàn)），而且可以查看Web應(yīng)用程序的安全性。 Acunetix就是這樣一種掃描儀，可以幫助您維護強大的應(yīng)用程序架構(gòu)并幫助防止將來的錯誤配置。除了查找典型的Web漏洞（例如SQLi和XSS）之外，Acunetix還查找上面列出的所有安全問題以及更多其他問題。

以上文章部分內(nèi)容采集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系創(chuàng)一網(wǎng)客服處理，謝謝！

上一篇：VPS主機選擇32位好還是64位好
下一篇：shell編程實戰(zhàn)之監(jiān)控端口（80端口、443端口等）

按類型查看

代運營服務(wù)

TikTok代運營

外貿(mào)代運營

全網(wǎng)營銷服務(wù)

跨境平臺服務(wù)

防城港亞馬遜服務(wù)

防城港Shopee服務(wù)

防城港Lazada服務(wù)

防城港速賣通服務(wù)

網(wǎng)站建設(shè)服務(wù)

防城港網(wǎng)站建設(shè)

防城港外貿(mào)獨立站

防城港WordPress網(wǎng)站建設(shè)

Shopify建站

外貿(mào)服務(wù)器租用

防城港服務(wù)器租用

防城港站群服務(wù)器

防城港專線服務(wù)器

防城港云主機租用

業(yè)務(wù)場景

防城港TikTok廣告

防城港SNS廣告運營

防城港Google廣告

防城港谷歌SEO優(yōu)化

行業(yè)解決方案

運營教程

防城港TikTok推廣營銷教程

防城港亞馬遜運營教程

防城港外貿(mào)獨立站運營

防城港SEO優(yōu)化

新聞中心

安全錯誤配置及其對網(wǎng)絡(luò)安全的影響

瀏覽量（114757） 時間：2020-09-24

熱門服務(wù)

營銷廣告

基礎(chǔ)服務(wù)

關(guān)于我們

13243804001 ( 7*24h )

瀏覽量（114757）時間：2020-09-24