術語“安全配置錯誤”非常普遍,適用于不是編程錯誤而是配置錯誤的任何安全問題。安全配置錯誤已在2017 OWASP TOP-10列表中定義為單獨的類別(A6-2017類別)。按照定義,它們可以出現(xiàn)在應用程序堆棧的任何級別,包括網絡服務,平臺,Web泰寧服務器,應用程序泰寧服務器,數據庫,框架,自定義代碼以及預安裝的虛擬機,容器或存儲。
讓我們看一下維護 Web 應用程序安全性時應注意的最常見的安全性錯誤配置。
權限寬松、缺乏強化
安全配置錯誤的最常見原因之一是用戶權限和帳戶安全設置不夠嚴格,尤其是在生產環(huán)境中。例如,一個常見的錯誤是使運行服務的用戶帳戶能夠運行命令行管理程序。如果是這樣,并且如果攻擊者可以某種方式訪問此用戶帳戶,則他們可以在操作系統(tǒng)中運行命令。另一個常見錯誤是將共享帳戶用于多種服務,例如,從同一帳戶運行Web泰寧服務器和數據庫服務器。
為了確保安全性,生產服務器上的所有服務都應使用單獨的帳戶運行,并且這些帳戶應具有絕對最小的權限 - 僅是服務實際需要的那些權限。這種特權的安全分離使攻擊者幾乎無法執(zhí)行特權升級。
默認設置和默認密碼
安全配置錯誤的另一個非常常見的原因是信任默認設置。您不能假定專業(yè)軟件默認是安全的。您安裝的每個軟件(包括 Web 服務器,應用程序服務器和數據庫服務器)都需要手動進行安全配置。
假設用戶可能希望從中受益,那么這種軟件通常會激活所有功能。這是一種不安全的配置,因為任何其他功能都意味著攻擊者還有其他潛在的進入點。因此,在安裝新軟件時,首先要做的就是更改默認設置并關閉所有不必要的服務,不必要的功能等。
許多公司面臨的另一個問題是使用默認帳戶和默認密碼。例如,這適用于所有管理控制臺,路由器,IoT 設備等。為了避免未經授權的訪問,您應該更改每個默認密碼,并且應該知道如何創(chuàng)建安全密碼。訪問控制配置錯誤是嚴重違反安全性的主要原因之一。
公開信息
如果攻擊者發(fā)現(xiàn)您在后端使用的軟件類型,例如數據庫服務器的類型和版本號,他們將有更多的時間來嘗試查找相關漏洞。這就是為什么永遠不要向攻擊者透露任何此類信息非常重要。
配置良好的系統(tǒng)應配置有錯誤處理,以抑制可能提示攻擊者的任何錯誤消息。您還應該禁止顯示所有信息標語以及任何其他可能幫助攻擊者指紋識別配置的直接或間接敏感信息。
公開過多的另一個示例是允許目錄列表。如果攻擊者可以列出 Web 服務器上目錄的內容,則他們可以潛在地訪問許多不受保護的文件,并且這些文件可能包含敏感數據。目錄列表被認為是嚴重的訪問控制缺陷。
過時的軟件
Web 應用程序的安全性與網絡的安全性不同,但是兩者緊密相關。例如,Web 服務器軟件中的錯誤被認為是網絡安全問題。此類錯誤經常出現(xiàn),其中一些可能很嚴重。這就是為什么需要使用最新的安全補丁來監(jiān)視和更新所有軟件的原因。影響 Web 應用程序安全性并且仍然困擾著許多系統(tǒng)的網絡安全性錯誤的一個很好的例子是 Heartbleed 錯誤。
因此,為了維護 Web 應用程序的安全性,定期檢查缺少的補丁非常重要,尤其是在面向公眾的軟件(例如 Web 服務器)的情況下。
安全掃描到救援
如何避免上面列出的安全性配置錯誤及其他問題?
最有效的方法是定期運行掃描,這會暴露安全問題。此類掃描應包括生產系統(tǒng)和登臺系統(tǒng) - 生產配置通?;诘桥_配置。
測試安全性的最佳方法是使用專業(yè)的掃描程序,該掃描程序不僅可以發(fā)現(xiàn)網絡安全配置錯誤(大多數掃描程序都會發(fā)現(xiàn)),而且可以查看Web應用程序的安全性。 Acunetix就是這樣一種掃描儀,可以幫助您維護強大的應用程序架構并幫助防止將來的錯誤配置。除了查找典型的Web漏洞(例如SQLi和XSS)之外,Acunetix還查找上面列出的所有安全問題以及更多其他問題。
以上文章部分內容采集于網絡,如有侵權請聯(lián)系創(chuàng)一網客服處理,謝謝!