Az OWASP Top 10 kiadvány a webes alkalmazásokban előforduló leggyakoribb sérülékenységek gyűjteménye. A következő bejegyzés sorozatban bemutatjuk ezeket a hibákat és a bennük rejlő kockázatokat. Ebben a bejegyzésben a hibás biztonsági beállításokban rejlő veszélyeket mutatjuk be.
A sérülékenység háttere
Az alkalmazás számos elemében (web szerver, adatbázis, hálózati beállítások) előfordulhatnak biztonsági beállítási hibák. A támadók előszeretettel használják ki az alapbeállításokat (pl. az olyan felhasználónév és jelszó kombinációt mint admin/admin). A nem használt/konfigurált szolgáltatások biztonsági kockázatot jelentek, mivel általában alapbeállítású jelszavak védik őket és nem frissítik, így idővel elavultak és sérülékenyek lesznek az elérhető exploitokkal szemben.
Kockázat
Egy támadó a nem használt, vagy rosszul konfigurált szolgáltatásokat kihasználva könyvtárak tartalmához férhet hozzá, vagy akár jogosulatlanul bejuthat az alkalazásba.
Tesztelés
A hibás biztonsági beállítások tesztelésében az automata sérülékenység vizsgálatok gyakran eredményesek .
Megelőzés
A megelőzés legfontosabb lépése egy minimalista platform fenntartása, ahol csak a legszükségesebb elemek találhatóak meg, ellenőrizetlen szolgáltatások nem.
A rendszeres patch-elés kiemelten fontos, így minden komponens naprakész marad.
Kerülni kell az alapbeállításokat és alap jelszavakat, melyeket komplex-re kell cserélni.