OWASP TOP10系列之#TOP6# A6-Security Misconfiguration(安全配置错误)
文章目录
一、Security Misconfiguration(安全配置错误)是什么?
攻击者通常会尝试利用未修补的缺陷或访问默认帐户、未使用的页面、未受保护的文件和目录等来获得未经授权的访问或系统知识。
安全配置错误可能发生在应用程序堆栈的任何级别,包括网络服务、平台、Web 服务器、应用程序服务器、数据库、框架、自定义代码等。
此类缺陷经常让攻击者未经授权访问某些系统数据或功能。有时,此类缺陷会导致完整的系统受损。
业务影响取决于应用程序和数据的保护需求。
二、什么情况会导致
- 在应用程序堆栈的任何部分缺少适当的安全强化,或对云服务的权限配置不当。
- 启用或安装了不必要的功能(例如不必要的端口、服务、页面、帐户或权限)。
- 默认帐户及其密码仍然启用且未更改。
- 错误处理向用户显示堆栈跟踪或其他信息过多的错误消息。
- 对于升级的系统,最新的安全功能被禁用或未安全配置。
- 应用服务器、应用框架(例如Struts、Spring、ASP.NET)、库、数据库等中的安全设置未设置为安全值。
- 服务器不发送安全标头或指令,或者它们未设置为安全值。
- 软件已过时或易受攻击
三、如何防御
- 删除或不安装未使用的功能和框架。
- 作为补丁管理过程的一部分,审查和更新适用于所有安全说明、更新和补丁的配置的任务
- 分段的应用程序架构,通过分段、容器化或云安全组 (ACL) 在组件或租户之间提供有效、安全的分离
- 向客户端发送安全指令,例如Security Headers。
- 验证所有环境中配置,可使用自动化工具
总结
OWASP TOP10系列之#TOP6# A6-Security Misconfiguration(安全配置错误)简单介绍,仅供参考,欢迎指正~~