Главная » Инф-ая безопасность » A05:2021- Неправильная конфигурация

A05:2021- Неправильная конфигурация

A05:2021- Неправильная конфигурация
Инф-ая безопасность
12 ноябрь 2021
0

Содержание:

Обзор

Поднялась с 6 на 5 место; 90 % приложений были проверены на наличие той или иной формы неправильной конфигурации со средним коэффициентом встречаемости 4.5% и более 208 тыс. случаев CWE были отнесены к этой категории риска. Поскольку все большее число программ переходит на высококонфигурируемое программное обеспечение, неудивительно, что эта категория повысилась. Известные CWE: Конфигурация CWE-16 и Неправильное ограничение и CWE-611 внедрение внешних XML сущностей.

Описание

Приложение может быть уязвимым, если:

  • Отсутствует надлежащее усиление безопасности в любой части стека приложений или неправильно настроены разрешения для облачных служб.
  • Включены или установлены ненужные функции (например, ненужные порты, службы, страницы, учетные записи или привилегии).
  • Учетные записи по умолчанию и их пароли по-прежнему включены и не изменены.
  • Обработка ошибок выявляет трассировки стека или другие чрезмерно информативные сообщения об ошибках для пользователей.
  • В обновленных системах последние функции безопасности отключены или настроены ненадежно.
  • Параметры безопасности на серверах приложений, платформах приложений (например, стойки, пружины, ASP.NET), библиотеки, базы данных и т.д. не настроены на безопасные значения.
  • Сервер не отправляет заголовки или директивы безопасности, или они не настроены на безопасные значения.
  • Программное обеспечение устарело или уязвимо (см. 06:2021 - Уязвимые и устаревшие компоненты).

Системы подвергаются более высокому риску без согласованного, повторяющегося процесса настройки безопасности приложений.

Как предотвратить

Требуется реализовать безопасные процессы установки, в том числе:

  • Повторяемый процесс упрочнения позволяет быстро и легко развернуть другую среду, которая соответствующим образом заблокирована. Среды разработки, контроля качества и производства нужно настроить одинаково, с различными учетными данными, используемыми в каждой среде. Этот процесс должен быть автоматизирован, чтобы свести к минимуму усилия, необходимые для создания новой безопасной среды.
  • Минимальная платформа без каких-либо ненужных функций, компонентов, документации и образцов. Удалите или не устанавливайте неиспользуемые функции и платформы.
  • Задача просмотреть и обновить конфигурации, соответствующие всем замечаниям по безопасности, обновлениям и исправлениям, в рамках процесса управления исправлениями (см. A06:2021 - Уязвимые и устаревшие компоненты). Просмотрите разрешения облачного хранилища (например, разрешения корзины S3).
  • Сегментированная архитектура приложений обеспечивает эффективное и безопасное разделение между компонентами или клиентами с помощью сегментации, контейнеризации или облачных групп безопасности (ACL).
  • Отправка директив безопасности клиентам, например, заголовков безопасности.
  • Автоматизированный процесс проверки эффективности конфигураций и настроек во всех средах.

Примеры сценариев атак

Сценарий № 1: Сервер приложений поставляется с образцами приложений, не удаленными с рабочего сервера. У этих примеров приложений есть известные недостатки безопасности, которые злоумышленники используют для взлома сервера. Предположим, что одним из этих приложений является консоль администратора, и учетные записи по умолчанию не были изменены. В этом случае злоумышленник входит в систему с паролями по умолчанию и берет управление на себя.

Сценарий № 2: Список каталогов на сервере не отключен. Злоумышленник обнаруживает, что они могут просто перечислять каталоги. Он находит и загружает скомпилированные классы Java, которые они декомпилируют и перепроектируют для просмотра кода. Затем злоумышленник обнаруживает серьезную ошибку в управлении доступом в приложении.

Сценарий № 3: Конфигурация сервера приложений позволяет возвращать пользователям подробные сообщения об ошибках, например, трассировки стека. Это потенциально раскрывает конфиденциальную информацию или основные недостатки. Например, версии компонентов, которые, как известно, уязвимы.

Сценарий № 4. Поставщик облачных услуг имеет разрешения на общий доступ к Интернету по умолчанию, открытый для других пользователей заголовка политики безопасности содержимого (CSP). Это позволяет получить доступ к конфиденциальным данным, хранящимся в облачном хранилище.

Об авторе
admin Пользователь не указал информацию о себе
Ctrl
Enter
Заметили ошЫбку
Выделите текст и нажмите Ctrl+Enter
2 951
0
+11
Комментарии (0)
Добавить
Читайте также
Найти еще
A03:2021- Внедрение кода A03:2021- Внедрение кода
Обзор Внедрение кода опускается на третью позицию. 94 % приложений были протестированы на наличие той или иной формы...
Инф-ая безопасность
12.11.21
OWASP Топ 10 – 2021 OWASP Топ 10 – 2021
Что изменилось в Топ-10 на 2021 год В Топ-10 на 2021 год добавлены три новые категории, четыре категории с изменениями...
Инф-ая безопасность
03.10.21
A01:2021- Нарушение контроля доступа A01:2021- Нарушение контроля доступа
Обзор Переместился с пятой позиции. 94 % приложений были протестированы на наличие той или иной формы нарушения...
Инф-ая безопасность
11.11.21
A04:2021- Небезопасный дизайн A04:2021- Небезопасный дизайн
Обзор Новая категория для 2021 года, в которой основное внимание уделяется рискам, связанным с недостатками...
Инф-ая безопасность
12.11.21
A02:2021-Сбои в криптографии A02:2021-Сбои в криптографии
Обзор Переместился на одну позицию выше и занял второе место, ранее известный как утечка чувствительных данных, который...
Инф-ая безопасность
12.11.21
О проекте
Проект был создан в апреле 2020 года.

Если коротко, то на сайте вы можете найти статьи о linux, windows, ЯП.
Все статьи написаны исключительно в образовательных целях, и призываем вас не использовать их во вред.

Меню сайта
Информация
© 2021 DoubleSharp.