Sicherheitsfehlkonfiguration

Sicherheitsfehlkonfiguration tritt auf, wenn Sicherheitseinstellungen als Standardeinstellungen definiert, implementiert und verwaltet werden. Für eine gute Sicherheit ist eine sichere Konfiguration erforderlich, die für die Anwendung, den Webserver, den Datenbankserver und die Plattform definiert und bereitgestellt wird. Ebenso wichtig ist es, die Software auf dem neuesten Stand zu halten.

Beispiel

Einige klassische Beispiele für Sicherheitsfehlkonfigurationen sind wie folgt:

  • Wenn die Verzeichnisliste auf dem Server nicht deaktiviert ist und der Angreifer dasselbe entdeckt, kann der Angreifer einfach Verzeichnisse auflisten, um eine Datei zu finden und auszuführen. Es ist auch möglich, die tatsächliche Codebasis abzurufen, die Ihren gesamten benutzerdefinierten Code enthält, und dann schwerwiegende Fehler in der Anwendung zu finden.

  • Durch die App-Server-Konfiguration können Stack-Traces an Benutzer zurückgegeben werden, wodurch möglicherweise zugrunde liegende Fehler aufgedeckt werden. Angreifer greifen auf die zusätzlichen Informationen zu, die in den Fehlermeldungen enthalten sind und die ausreichen, um sie zu durchdringen.

  • App-Server werden normalerweise mit Beispiel-Apps geliefert, die nicht gut gesichert sind. Wenn Sie nicht vom Produktionsserver entfernt werden, wird Ihr Server gefährdet.

Hände an

Step 1- Starten Sie Webgoat, navigieren Sie zum Abschnitt "Unsichere Konfiguration" und lassen Sie uns versuchen, diese Herausforderung zu lösen. Eine Momentaufnahme davon finden Sie unten -

Step 2- Wir können so viele Optionen ausprobieren, wie wir uns vorstellen können. Alles, was wir brauchen, um die URL der Konfigurationsdatei zu finden, und wir wissen, dass die Entwickler eine Art Namenskonvention für Konfigurationsdateien befolgen. Es kann alles sein, was unten aufgeführt ist. Es wird normalerweise durch BRUTE-Krafttechnik durchgeführt.

  • web.config
  • config
  • appname.config
  • conf

Step 3 - Wenn wir verschiedene Optionen ausprobieren, stellen wir fest, dass 'http://localhost:8080/WebGoat/conf' ist erfolgreich. Die folgende Seite wird angezeigt, wenn der Versuch erfolgreich war -

Vorbeugende Mechanismen

  • Alle Umgebungen wie Entwicklungs-, Qualitätssicherungs- und Produktionsumgebungen sollten identisch mit unterschiedlichen Kennwörtern konfiguriert werden, die in jeder Umgebung verwendet werden und nicht einfach gehackt werden können.

  • Stellen Sie sicher, dass eine starke Anwendungsarchitektur verwendet wird, die eine effektive und sichere Trennung zwischen Komponenten ermöglicht.

  • Es kann auch die Möglichkeit dieses Angriffs minimieren, indem automatisierte Scans ausgeführt und regelmäßig Audits durchgeführt werden.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved