术语 安全配置排五走势图 是非常通用的,适用于不是由编程排五走势图引起的而是由配置排五走势图引起的任何安全性问题。安全排五走势图配置在2017 OWASP Top-10列表中被定义为单独的类别 (类别A6-2017)。根据定义, 可以在应用程序堆栈的任何级别上发生,包括网络服务,平台,Web服务器,应用程序服务器,数据库,框架,自定义代码以及预安装的虚拟机,容器或存储.

Let’s have a look at the most common 安全配置排五走势图s that you should watch out for to maintain web application security.

宽松的权限和缺乏强化

安全性配置排五走势图的最常见原因之一就是用户权限和帐户安全性设置不够严格,尤其是在生产环境中。例如,一个常见的排五走势图是使运行服务的用户帐户能够运行Shell。如果是这样,并且如果攻击者以某种方式可以访问此用户帐户,则他们可以在操作系统中运行命令。另一个常见的排五走势图是将共享帐户用于多个服务,例如,从同一帐户运行Web服务器和数据库服务器。

为了确保安全性,生产服务器上的所有服务都应使用单独的帐户运行,并且这些帐户应具有绝对最小权限-仅是服务实际需要的那些权限。这种特权的安全分离使攻击者几乎无法执行 特权升级.

默认设置和默认密码

Another very common cause of 安全配置排五走势图s is trusting default settings. You cannot assume that professional software comes secure 通过 default. Every piece of software that you install, including the web server, the application server, 和 the database server, needs manual security configuration.

假设用户可能希望从中受益,则此类软件通常会激活所有功能。这是一种不安全的配置,因为任何其他功能都意味着攻击者有额外的潜在入口点。因此,在安装新软件时,第一件事就是更改默认设置并关闭所有不必要的服务,不必要的功能等。

许多公司面临的另一个问题是使用默认帐户和默认密码。例如,这适用于所有管理控制台,路由器,IoT设备等。为避免未经授权的访问,您应该更改每个默认密码和 您应该知道如何创建安全密码。访问控制配置排五走势图是严重违反安全性的主要原因之一。

公开信息

如果攻击者发现后端使用的软件类型,例如数据库服务器的类型和版本号,则他们将有更多的时间来尝试查找相关漏洞。这就是为什么永远不要向攻击者透露任何此类信息非常重要。

配置良好的系统应配置排五走势图处理,以抑制可能给攻击者提示的任何排五走势图消息。您还应该禁止显示所有信息标语以及任何其他直接或间接的敏感信息,这些信息可能有助于攻击者对配置进行指纹识别。

暴露过多的另一个例子是允许 目录清单。如果攻击者可以列出Web服务器上目录的内容,则他们可以潜在地访问许多不受保护的文件,并且这些文件可能包含敏感数据。目录列表被认为是严重的访问控制缺陷。

过时的软件

Web应用程序的安全性与网络安全性不同,但是两者密切相关。例如,Web服务器软件中的排五走势图被认为是网络安全问题。此类排五走势图经常出现,其中一些可能很严重。这就是为什么需要使用最新的安全补丁来监视和更新所有软件的原因。影响网络应用程序安全性并且仍然困扰许多系统的网络安全性排五走势图的一个很好的例子是 令人流血的排五走势图.

因此,为了维护Web应用程序的安全性,定期检查缺少的补丁非常重要,尤其是在面向公众的软件(例如Web服务器)的情况下。

安全扫描到救援

How to avoid 安全配置排五走势图s listed above 和 more?

最有效的方法是定期运行扫描,这会暴露安全问题。此类扫描应包括生产系统和登台系统-生产配置通常基于登台配置。

测试安全性的最佳方法是使用专业的扫描程序,该扫描程序不仅发现网络安全配置排五走势图(大多数扫描程序都这样做),而且着眼于Web应用程序的安全性。 Acunetix就是这样一种扫描仪,可帮助您维护强大的应用程序体系结构并有助于防止将来的排五走势图配置。除了查找典型的Web漏洞 SQLi and XSS,Acunetix查找上面列出的所有安全问题以及更多其他问题。

Source: //www.acunetix.com/blog/web-security-zone/security-misconfigurations/