術(shù)語“安全配置錯誤”非常普遍,適用于不是編程錯誤而是配置錯誤的任何安全問題。安全配置錯誤已在2017 OWASP TOP-10列表中定義為單獨的類別(A6-2017類別)。按照定義,它們可以出現(xiàn)在應(yīng)用程序堆棧的任何級別,包括網(wǎng)絡(luò)服務(wù),平臺,Web南朗鎮(zhèn)服務(wù)器,應(yīng)用程序南朗鎮(zhèn)服務(wù)器,數(shù)據(jù)庫,框架,自定義代碼以及預(yù)安裝的虛擬機(jī),容器或存儲。
讓我們看一下維護(hù) Web 應(yīng)用程序安全性時應(yīng)注意的最常見的安全性錯誤配置。
權(quán)限寬松、缺乏強(qiáng)化
安全配置錯誤的最常見原因之一是用戶權(quán)限和帳戶安全設(shè)置不夠嚴(yán)格,尤其是在生產(chǎn)環(huán)境中。例如,一個常見的錯誤是使運(yùn)行服務(wù)的用戶帳戶能夠運(yùn)行命令行管理程序。如果是這樣,并且如果攻擊者可以某種方式訪問此用戶帳戶,則他們可以在操作系統(tǒng)中運(yùn)行命令。另一個常見錯誤是將共享帳戶用于多種服務(wù),例如,從同一帳戶運(yùn)行Web南朗鎮(zhèn)服務(wù)器和數(shù)據(jù)庫服務(wù)器。
為了確保安全性,生產(chǎn)服務(wù)器上的所有服務(wù)都應(yīng)使用單獨的帳戶運(yùn)行,并且這些帳戶應(yīng)具有絕對最小的權(quán)限 - 僅是服務(wù)實際需要的那些權(quán)限。這種特權(quán)的安全分離使攻擊者幾乎無法執(zhí)行特權(quán)升級。
默認(rèn)設(shè)置和默認(rèn)密碼
安全配置錯誤的另一個非常常見的原因是信任默認(rèn)設(shè)置。您不能假定專業(yè)軟件默認(rèn)是安全的。您安裝的每個軟件(包括 Web 服務(wù)器,應(yīng)用程序服務(wù)器和數(shù)據(jù)庫服務(wù)器)都需要手動進(jìn)行安全配置。
假設(shè)用戶可能希望從中受益,那么這種軟件通常會激活所有功能。這是一種不安全的配置,因為任何其他功能都意味著攻擊者還有其他潛在的進(jìn)入點。因此,在安裝新軟件時,首先要做的就是更改默認(rèn)設(shè)置并關(guān)閉所有不必要的服務(wù),不必要的功能等。
許多公司面臨的另一個問題是使用默認(rèn)帳戶和默認(rèn)密碼。例如,這適用于所有管理控制臺,路由器,IoT 設(shè)備等。為了避免未經(jīng)授權(quán)的訪問,您應(yīng)該更改每個默認(rèn)密碼,并且應(yīng)該知道如何創(chuàng)建安全密碼。訪問控制配置錯誤是嚴(yán)重違反安全性的主要原因之一。
公開信息
如果攻擊者發(fā)現(xiàn)您在后端使用的軟件類型,例如數(shù)據(jù)庫服務(wù)器的類型和版本號,他們將有更多的時間來嘗試查找相關(guān)漏洞。這就是為什么永遠(yuǎn)不要向攻擊者透露任何此類信息非常重要。
配置良好的系統(tǒng)應(yīng)配置有錯誤處理,以抑制可能提示攻擊者的任何錯誤消息。您還應(yīng)該禁止顯示所有信息標(biāo)語以及任何其他可能幫助攻擊者指紋識別配置的直接或間接敏感信息。
公開過多的另一個示例是允許目錄列表。如果攻擊者可以列出 Web 服務(wù)器上目錄的內(nèi)容,則他們可以潛在地訪問許多不受保護(hù)的文件,并且這些文件可能包含敏感數(shù)據(jù)。目錄列表被認(rèn)為是嚴(yán)重的訪問控制缺陷。
過時的軟件
Web 應(yīng)用程序的安全性與網(wǎng)絡(luò)的安全性不同,但是兩者緊密相關(guān)。例如,Web 服務(wù)器軟件中的錯誤被認(rèn)為是網(wǎng)絡(luò)安全問題。此類錯誤經(jīng)常出現(xiàn),其中一些可能很嚴(yán)重。這就是為什么需要使用最新的安全補(bǔ)丁來監(jiān)視和更新所有軟件的原因。影響 Web 應(yīng)用程序安全性并且仍然困擾著許多系統(tǒng)的網(wǎng)絡(luò)安全性錯誤的一個很好的例子是 Heartbleed 錯誤。
因此,為了維護(hù) Web 應(yīng)用程序的安全性,定期檢查缺少的補(bǔ)丁非常重要,尤其是在面向公眾的軟件(例如 Web 服務(wù)器)的情況下。
安全掃描到救援
如何避免上面列出的安全性配置錯誤及其他問題?
最有效的方法是定期運(yùn)行掃描,這會暴露安全問題。此類掃描應(yīng)包括生產(chǎn)系統(tǒng)和登臺系統(tǒng) - 生產(chǎn)配置通常基于登臺配置。
測試安全性的最佳方法是使用專業(yè)的掃描程序,該掃描程序不僅可以發(fā)現(xiàn)網(wǎng)絡(luò)安全配置錯誤(大多數(shù)掃描程序都會發(fā)現(xiàn)),而且可以查看Web應(yīng)用程序的安全性。 Acunetix就是這樣一種掃描儀,可以幫助您維護(hù)強(qiáng)大的應(yīng)用程序架構(gòu)并幫助防止將來的錯誤配置。除了查找典型的Web漏洞(例如SQLi和XSS)之外,Acunetix還查找上面列出的所有安全問題以及更多其他問題。
以上文章部分內(nèi)容采集于網(wǎng)絡(luò),如有侵權(quán)請聯(lián)系創(chuàng)一網(wǎng)客服處理,謝謝!