TOP6安全性错误配置（Security Misconfigurations）

从本质上讲，蛮力是尝试许多可能的组合的行为，但是此攻击有多种变体，可以提高成功率。这是最常见的：

1. 未修补的缺陷
2. 默认配置
3. 未使用的页面
4. 未受保护的文件和目录
5. 不必要的服务

网站管理员最常见的缺陷之一就是保持CMS默认配置。
从安全角度来看，对于最终用户而言，今天的CMS应用程序（尽管易于使用）可能会很棘手。到目前为止，最常见的攻击是完全自动化的。这些攻击中有许多都依赖于用户仅具有默认设置。这意味着，在安装CMS时可以通过更改默认设置来缓解大量攻击。同时还需要调整一些设置，以控制评论，用户和用户信息的可见性。文件权限是可以强化的默认设置的另一个示例。

安全性配置错误会在哪里发生？

配置错误可以在应用程序堆栈的任何级别发生，包括：

• 网络服务
• 平台
• 网络服务器
• 应用服务器
• 数据库
• 构架
• 自定义代码
• 预装的虚拟机
• 货柜
• 存储

安全配置错误可能出现攻击场景的示例

• 应用程序服务器随附未从生产服务器中删除的示例应用程序。这些示例应用程序具有已知的安全漏洞，攻击者使用这些漏洞来破坏服务器。如果这些应用程序之一是管理控制台，并且未更改默认帐户，则攻击者将使用默认密码登录并接管。
• 未在服务器上禁用目录列表。攻击者发现他们可以简单地列出目录。他们找到并下载已编译的Java类，然后对其进行反编译并进行反向工程以查看代码。然后，攻击者在应用程序中发现严重的访问控制漏洞。
• 应用程序服务器的配置允许将详细的错误消息（例如堆栈跟踪）返回给用户。这可能会暴露敏感信息或潜在缺陷，例如组件版本。他们被认为是脆弱的。
• 云服务提供商具有其他CSP用户向Internet开放的默认共享权限。这允许在云存储中访问存储的敏感数据。

那我们又该如何防止呢？

• 可重复的强化过程，可以快速轻松地部署正确锁定的另一个环境。开发，质量保证和生产环境均应配置相同，并且在每个环境中使用不同的凭据。使该过程自动化，以最大程度地减少设置新的安全环境所需的工作。
• 一个没有任何不必要的功能，组件，文档和样本的最小平台。删除或不安装未使用的功能和框架。
• 作为修补程序管理过程的一部分，审查和更新适用于所有安全说明，更新和修补程序的配置的任务。特别是，请查看云存储权限。
• 一种分段的应用程序体系结构，可通过分段，容器化或云安全组在组件或租户之间提供有效且安全的隔离。
• 将安全指令发送到客户端，例如安全标头。
• 在所有环境中验证配置和设置有效性的自动化过程。

• 点赞
• 收藏
• 分享
• 文章举报