首页
找靠谱产品
找解决方案
找靠谱公司
找案例
找对的人
专家智库
悬赏任务
SAAS
ToB门户
了解全球最新的ToB事件
论坛
潜水/灌水快乐,沉淀知识,认识更多同行。
ToB圈子
加入IT圈,遇到更多同好之人。
微博
Follow
记录
Doing
博客
Blog
文库
业界最专业的IT文库,上传资料也可以赚钱
下载
分享
Share
排行榜
Ranklist
相册
Album
应用中心
qidao123.com ToB IT社区-企服评测·应用市场
»
论坛
›
企业信息化/数字化
›
ERP
›
SAP
›
网安云知识 | OWASP TOP 10之安全配置错误
返回列表
发新帖
网安云知识 | OWASP TOP 10之安全配置错误
[复制链接]
发表于 2024-5-13 10:51:09
|
显示全部楼层
|
阅读模式
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要
登录
才可以下载或查看,没有账号?
立即注册
×
这些漏洞使攻击者能常常访问一些未授权的体系数据或
功能
。有时,这些漏洞导致体系的完全攻破。业务影响取决于您的应用程序和数据的掩护需求。
安全
配置
错误大概发生在应用程序堆栈的任何级别,包罗网络服务、平台、Web
服务器
应用
服务器
、
数据库
、框架、自定义
代码
和预安装的虚拟机、
容器
。攻击者利用这些漏洞能常常访问一些未授权的体系数据或
功能
。有时,这些漏洞导致体系被完全攻破。
通常,攻击者能够通过未修复的漏洞访问默认账户、不再利用的页面、未受掩护的文件和目录等来取得对体系的未授权的访问或了解。
安全
配置
错误可以发生在一个应用程序堆栈的任何层面,包罗网络服务、平台、Web
服务器
、应用服务器
数据库
、框架、自定义
代码
和预安装的虚拟机、
容器
和
存储
。主动扫描器可用于检测错误的
安全
配置
、默认帐户的利用或配置、不必要的服务、遗留选项等。
这些漏洞使攻击者能常常访问一些未授权的体系数据或
功能
。有时,这些漏洞导致体系的完全攻破。业务影响取决于您的应用程序和数据的掩护需求。
1、漏洞产生的原因
● 产物环境下没有更改初始密码,默认帐户的密码仍然可用;
● 没有加固操纵体系/
数据库
/应用服务器/Web服务器等,大概权限配置错误;
● 应用程序启用或安装了不必要的功能(比方:不必要的端口、服务、网页、帐户或权限);
● 错误处置惩罚机制向用户披露大量错误信息;
● 对于更新的体系,最新的安全功能被禁用或不安全地配置;
● 应用程序服务器、应用程序框架 (如: Struts、Spring.ASPNET)、库文件、数据库等没有进行安全配置;
● 服务器不发送安全标头或指令,大概未对服务器进行安全配置;
● 应用程序已过时或利用了存在漏洞的组件。
2、漏洞产生的影响
● 信息泄漏
● 后门
● 长途毗连(SSH)
● 操纵体系命令执行
● 越权访问
3、如何防御?——执行安全的安装过程
● 一个可以快速且易于部署在另一个锁定环境的可重复的加固过程。开辟、质量包管和生产环境都应该进行相同配置,并且,在每个环境中利用不同的密码。这个过程应该是主动化的,以尽量淘汰安装一个新安全环境的泯灭。
● 搭建最小化平台,该平台不包含任何不必要的功能、组件、
文档
和示例。移除或不安装不适用的功能和框架。
● 查抄和修复安全配置项来适应最新的安全说明、更新和补丁,并将其作为更新管理过程的一部分,(拜见A9: 2017-利用含有已知漏洞的组件) 。在查抄过程中,应特别留意云
存储
权限 (如: S3桶权限) 。
● 一个能在组件和用户间提供有效的分离和安全性的分段应用程序架构,包罗: 分段、
容器
化和云安全组。
● 向客户端发送安全指令,如: 安全标头。
● 在所有环境中能够进行精确安全配置和设置的主动化过程。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复
使用道具
举报
返回列表
用户国营
+ 我要发帖
登录后关闭弹窗
登录参与点评抽奖 加入IT实名职场社区
去登录
微信订阅号
微信服务号
微信客服(加群)
H5
小程序
快速回复
返回顶部
返回列表