安全錯誤配置及其對網絡安全有什么影響

安全配置錯誤這一術語非常普遍，適用于任何不是編程錯誤而是配置錯誤造成的安全問題。安全配置錯誤已被定義為2017 OWASP TOP-10榜單中的一個單獨類別(A6-2017類)。正如定義所述，它們可以發生在應用程序堆棧的任何級別，包括網絡服務、平臺、Web服務器、應用程序服務器、數據庫、框架、自定義代碼和預安裝的虛擬機、容器或存儲。

讓我們看一下維護Web應用程序安全性時應注意的最常見的安全性錯誤配置。

權限寬松、缺乏強化

安全配置錯誤的最常見原因之一就是用戶權限和帳戶安全設置不夠嚴格，尤其是在生產環境中。例如，一個常見的錯誤是使運行服務的用戶帳戶能夠運行Shell。如果是這樣，并且如果攻擊者以某種方式可以訪問此用戶帳戶，則他們可以在操作系統中運行命令。另一個常見的錯誤是將共享帳戶用于多個服務，例如，從同一帳戶運行Web服務器和數據庫服務器。

為了確保安全性，生產服務器上的所有服務都應使用單獨的帳戶運行，并且這些帳戶應具有絕對最小的權限-僅是服務實際需要的那些權限。這種特權的安全分離使攻擊者幾乎無法執行特權升級。

默認設置和默認密碼

安全配置錯誤的另一個非常常見的原因是信任默認設置。您不能假定專業軟件默認是安全的。您安裝的每個軟件（包括Web服務器，應用程序服務器和數據庫服務器）都需要手動進行安全配置。

假設用戶可能希望從中受益，則此類軟件通常會激活所有功能。這是一種不安全的配置，因為任何其他功能都意味著攻擊者有額外的潛在入口點。因此，在安裝新軟件時，要做的第一件事就是更改默認設置并關閉所有不必要的服務，不必要的功能等。

許多公司面臨的另一個問題是使用默認帳戶和默認密碼。例如，這適用于所有管理控制臺，路由器，IoT設備等。為了避免未經授權的訪問，您應該更改每個默認密碼，并且應該知道如何創建安全密碼。訪問控制配置錯誤是嚴重違反安全性的主要原因之一。

公開信息

如果攻擊者發現您在后端使用的軟件類型，例如數據庫服務器的類型和版本號，他們將有更多的時間來嘗試查找相關漏洞。這就是為什么永遠不要向攻擊者透露任何此類信息非常重要。

配置良好的系統應該配置錯誤處理，以抑制任何可能向攻擊者提示的錯誤消息。您還應該禁止顯示所有信息標語以及任何其他直接或間接敏感信息，這些信息可能有助于攻擊者對配置進行指紋識別。

公開過多的另一個示例是允許目錄列表。如果攻擊者可以列出Web服務器上目錄的內容，則他們可以潛在地訪問許多不受保護的文件，并且這些文件可能包含敏感數據。目錄列表被認為是嚴重的訪問控制缺陷。

過時的軟件

Web應用程序的安全性與網絡的安全性不同，但是兩者緊密相關。例如，Web服務器軟件中的錯誤被認為是網絡安全問題。此類錯誤經常出現，其中一些可能很嚴重。這就是為什么需要使用最新的安全補丁來監視和更新所有軟件的原因。影響Web應用程序安全性并且仍然困擾著許多系統的網絡安全性錯誤的一個很好的例子是Heartbleed錯誤。

因此，為了維護Web應用程序的安全性，定期檢查缺少的補丁非常重要，尤其是在面向公眾的軟件（例如Web服務器）的情況下。

安全掃描到救援

如何避免上面列出的安全性配置錯誤及其他問題？

最有效的方法是定期運行掃描，這會暴露安全問題。此類掃描應包括生產系統和登臺系統-生產配置通常基于登臺配置。

測試安全性的最佳方法是使用專業的掃描儀，該掃描儀不僅發現網絡安全配置錯誤（大多數掃描儀都這樣做），而且著眼于Web應用程序的安全性。Acunetix就是這樣一種掃描儀，可幫助您維護強大的應用程序體系結構并有助于防止將來的錯誤配置。除了查找典型的Web漏洞（如SQLi和XSS）之外，Acunetix 還會查找上面列出的所有安全問題以及更多其他問題。