亚洲国产AV一区二区三区久久_乱人妻中文字幕视频_91麻豆精品国产一级_精品国产欧美另类一区

    術(shù)語(yǔ)“安全配置錯(cuò)誤”非常普遍，適用于不是編程錯(cuò)誤而是配置錯(cuò)誤的任何安全問(wèn)題。安全配置錯(cuò)誤已在2017 OWASP TOP-10列表中定義為單獨(dú)的類別（A6-2017類別）。按照定義，它們可以出現(xiàn)在應(yīng)用程序堆棧的任何級(jí)別，包括網(wǎng)絡(luò)服務(wù)，平臺(tái)，Web遂寧服務(wù)器，應(yīng)用程序遂寧服務(wù)器，數(shù)據(jù)庫(kù)，框架，自定義代碼以及預(yù)安裝的虛擬機(jī)，容器或存儲(chǔ)。

讓我們看一下維護(hù) Web 應(yīng)用程序安全性時(shí)應(yīng)注意的最常見(jiàn)的安全性錯(cuò)誤配置。
權(quán)限寬松、缺乏強(qiáng)化

安全配置錯(cuò)誤的最常見(jiàn)原因之一是用戶權(quán)限和帳戶安全設(shè)置不夠嚴(yán)格，尤其是在生產(chǎn)環(huán)境中。例如，一個(gè)常見(jiàn)的錯(cuò)誤是使運(yùn)行服務(wù)的用戶帳戶能夠運(yùn)行命令行管理程序。如果是這樣，并且如果攻擊者可以某種方式訪問(wèn)此用戶帳戶，則他們可以在操作系統(tǒng)中運(yùn)行命令。另一個(gè)常見(jiàn)錯(cuò)誤是將共享帳戶用于多種服務(wù)，例如，從同一帳戶運(yùn)行Web遂寧服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器。

     為了確保安全性，生產(chǎn)服務(wù)器上的所有服務(wù)都應(yīng)使用單獨(dú)的帳戶運(yùn)行，并且這些帳戶應(yīng)具有絕對(duì)最小的權(quán)限 - 僅是服務(wù)實(shí)際需要的那些權(quán)限。這種特權(quán)的安全分離使攻擊者幾乎無(wú)法執(zhí)行特權(quán)升級(jí)。
默認(rèn)設(shè)置和默認(rèn)密碼

安全配置錯(cuò)誤的另一個(gè)非常常見(jiàn)的原因是信任默認(rèn)設(shè)置。您不能假定專業(yè)軟件默認(rèn)是安全的。您安裝的每個(gè)軟件（包括 Web 服務(wù)器，應(yīng)用程序服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器）都需要手動(dòng)進(jìn)行安全配置。

假設(shè)用戶可能希望從中受益，那么這種軟件通常會(huì)激活所有功能。這是一種不安全的配置，因?yàn)槿魏纹渌δ芏家馕吨粽哌€有其他潛在的進(jìn)入點(diǎn)。因此，在安裝新軟件時(shí)，首先要做的就是更改默認(rèn)設(shè)置并關(guān)閉所有不必要的服務(wù)，不必要的功能等。

許多公司面臨的另一個(gè)問(wèn)題是使用默認(rèn)帳戶和默認(rèn)密碼。例如，這適用于所有管理控制臺(tái)，路由器，IoT 設(shè)備等。為了避免未經(jīng)授權(quán)的訪問(wèn)，您應(yīng)該更改每個(gè)默認(rèn)密碼，并且應(yīng)該知道如何創(chuàng)建安全密碼。訪問(wèn)控制配置錯(cuò)誤是嚴(yán)重違反安全性的主要原因之一。
公開(kāi)信息

如果攻擊者發(fā)現(xiàn)您在后端使用的軟件類型，例如數(shù)據(jù)庫(kù)服務(wù)器的類型和版本號(hào)，他們將有更多的時(shí)間來(lái)嘗試查找相關(guān)漏洞。這就是為什么永遠(yuǎn)不要向攻擊者透露任何此類信息非常重要。

配置良好的系統(tǒng)應(yīng)配置有錯(cuò)誤處理，以抑制可能提示攻擊者的任何錯(cuò)誤消息。您還應(yīng)該禁止顯示所有信息標(biāo)語(yǔ)以及任何其他可能幫助攻擊者指紋識(shí)別配置的直接或間接敏感信息。

公開(kāi)過(guò)多的另一個(gè)示例是允許目錄列表。如果攻擊者可以列出 Web 服務(wù)器上目錄的內(nèi)容，則他們可以潛在地訪問(wèn)許多不受保護(hù)的文件，并且這些文件可能包含敏感數(shù)據(jù)。目錄列表被認(rèn)為是嚴(yán)重的訪問(wèn)控制缺陷。
過(guò)時(shí)的軟件

Web 應(yīng)用程序的安全性與網(wǎng)絡(luò)的安全性不同，但是兩者緊密相關(guān)。例如，Web 服務(wù)器軟件中的錯(cuò)誤被認(rèn)為是網(wǎng)絡(luò)安全問(wèn)題。此類錯(cuò)誤經(jīng)常出現(xiàn)，其中一些可能很嚴(yán)重。這就是為什么需要使用最新的安全補(bǔ)丁來(lái)監(jiān)視和更新所有軟件的原因。影響 Web 應(yīng)用程序安全性并且仍然困擾著許多系統(tǒng)的網(wǎng)絡(luò)安全性錯(cuò)誤的一個(gè)很好的例子是 Heartbleed 錯(cuò)誤。

因此，為了維護(hù) Web 應(yīng)用程序的安全性，定期檢查缺少的補(bǔ)丁非常重要，尤其是在面向公眾的軟件（例如 Web 服務(wù)器）的情況下。
安全掃描到救援

如何避免上面列出的安全性配置錯(cuò)誤及其他問(wèn)題？

最有效的方法是定期運(yùn)行掃描，這會(huì)暴露安全問(wèn)題。此類掃描應(yīng)包括生產(chǎn)系統(tǒng)和登臺(tái)系統(tǒng) - 生產(chǎn)配置通?；诘桥_(tái)配置。

測(cè)試安全性的最佳方法是使用專業(yè)的掃描程序，該掃描程序不僅可以發(fā)現(xiàn)網(wǎng)絡(luò)安全配置錯(cuò)誤（大多數(shù)掃描程序都會(huì)發(fā)現(xiàn)），而且可以查看Web應(yīng)用程序的安全性。 Acunetix就是這樣一種掃描儀，可以幫助您維護(hù)強(qiáng)大的應(yīng)用程序架構(gòu)并幫助防止將來(lái)的錯(cuò)誤配置。除了查找典型的Web漏洞（例如SQLi和XSS）之外，Acunetix還查找上面列出的所有安全問(wèn)題以及更多其他問(wèn)題。

以上文章部分內(nèi)容采集于網(wǎng)絡(luò)，如有侵權(quán)請(qǐng)聯(lián)系創(chuàng)一網(wǎng)客服處理，謝謝！