Главная » Инф-ая безопасность » A05:2021- Неправильная конфигурация

A05:2021- Неправильная конфигурация

A05:2021- Неправильная конфигурация
Инф-ая безопасность
12 ноябрь 2021
0

Обзор


Поднялась с 6 на 5 место; 90 % приложений были проверены на наличие той или иной формы неправильной конфигурации со средним коэффициентом встречаемости 4.5% и более 208 тыс. случаев CWE были отнесены к этой категории риска. Поскольку все большее число программ переходит на высококонфигурируемое программное обеспечение, неудивительно, что эта категория повысилась. Известные CWE: Конфигурация CWE-16 и Неправильное ограничение и CWE-611 внедрение внешних XML сущностей.

Описание


Приложение может быть уязвимым, если:

  • Отсутствует надлежащее усиление безопасности в любой части стека приложений или неправильно настроены разрешения для облачных служб.
  • Включены или установлены ненужные функции (например, ненужные порты, службы, страницы, учетные записи или привилегии).
  • Учетные записи по умолчанию и их пароли по-прежнему включены и не изменены.
  • Обработка ошибок выявляет трассировки стека или другие чрезмерно информативные сообщения об ошибках для пользователей.
  • В обновленных системах последние функции безопасности отключены или настроены ненадежно.
  • Параметры безопасности на серверах приложений, платформах приложений (например, стойки, пружины, ASP.NET), библиотеки, базы данных и т.д. не настроены на безопасные значения.
  • Сервер не отправляет заголовки или директивы безопасности, или они не настроены на безопасные значения.
  • Программное обеспечение устарело или уязвимо (см. 06:2021 - Уязвимые и устаревшие компоненты).

Системы подвергаются более высокому риску без согласованного, повторяющегося процесса настройки безопасности приложений.

Как предотвратить


Требуется реализовать безопасные процессы установки, в том числе:

  • Повторяемый процесс упрочнения позволяет быстро и легко развернуть другую среду, которая соответствующим образом заблокирована. Среды разработки, контроля качества и производства нужно настроить одинаково, с различными учетными данными, используемыми в каждой среде. Этот процесс должен быть автоматизирован, чтобы свести к минимуму усилия, необходимые для создания новой безопасной среды.
  • Минимальная платформа без каких-либо ненужных функций, компонентов, документации и образцов. Удалите или не устанавливайте неиспользуемые функции и платформы.
  • Задача просмотреть и обновить конфигурации, соответствующие всем замечаниям по безопасности, обновлениям и исправлениям, в рамках процесса управления исправлениями (см. A06:2021 - Уязвимые и устаревшие компоненты). Просмотрите разрешения облачного хранилища (например, разрешения корзины S3).
  • Сегментированная архитектура приложений обеспечивает эффективное и безопасное разделение между компонентами или клиентами с помощью сегментации, контейнеризации или облачных групп безопасности (ACL).
  • Отправка директив безопасности клиентам, например, заголовков безопасности.
  • Автоматизированный процесс проверки эффективности конфигураций и настроек во всех средах.

Примеры сценариев атак


Сценарий № 1: Сервер приложений поставляется с образцами приложений, не удаленными с рабочего сервера. У этих примеров приложений есть известные недостатки безопасности, которые злоумышленники используют для взлома сервера. Предположим, что одним из этих приложений является консоль администратора, и учетные записи по умолчанию не были изменены. В этом случае злоумышленник входит в систему с паролями по умолчанию и берет управление на себя.

Сценарий № 2: Список каталогов на сервере не отключен. Злоумышленник обнаруживает, что они могут просто перечислять каталоги. Он находит и загружает скомпилированные классы Java, которые они декомпилируют и перепроектируют для просмотра кода. Затем злоумышленник обнаруживает серьезную ошибку в управлении доступом в приложении.

Сценарий № 3: Конфигурация сервера приложений позволяет возвращать пользователям подробные сообщения об ошибках, например, трассировки стека. Это потенциально раскрывает конфиденциальную информацию или основные недостатки. Например, версии компонентов, которые, как известно, уязвимы.

Сценарий № 4. Поставщик облачных услуг имеет разрешения на общий доступ к Интернету по умолчанию, открытый для других пользователей заголовка политики безопасности содержимого (CSP). Это позволяет получить доступ к конфиденциальным данным, хранящимся в облачном хранилище.

Об авторе
admin Пользователь не указал информацию о себе
Ctrl
Enter
Заметили ошЫбку
Выделите текст и нажмите Ctrl+Enter
32
0
00
Комментарии (0)