网安云知识 | OWASP TOP 10之安全配置错误

安全配置错误可能发生在应用程序堆栈的任何级别，包括网络服务、平台、Web服务器应用服务器、数据库、框架、自定义代码和预安装的虚拟机、容器。攻击者利用这些漏洞能经常访问一些未授权的系统数据或功能。有时，这些漏洞导致系统被完全攻破。

通常，攻击者能够通过未修复的漏洞访问默认账户、不再使用的页面、未受保护的文件和目录等来取得对系统的未授权的访问或了解。安全配置错误可以发生在一个应用程序堆栈的任何层面，包括网络服务、平台、Web服务器、应用服务器数据库、框架、自定义代码和预安装的虚拟机、容器和存储。自动扫描器可用于检测错误的安全配置、默认帐户的使用或配置、不必要的服务、遗留选项等。

这些漏洞使攻击者能经常访问一些未授权的系统数据或功能。有时，这些漏洞导致系统的完全攻破。业务影响取决于您的应用程序和数据的保护需求。

1、漏洞产生的原因

● 产品环境下没有更改初始密码，默认帐户的密码仍然可用；

● 没有加固操作系统/数据库/应用服务器/Web服务器等，或者权限配置错误；

● 应用程序启用或安装了不必要的功能（例如:不必要的端口、服务、网页、帐户或权限）；

● 错误处理机制向用户披露大量错误信息；

● 对于更新的系统，最新的安全功能被禁用或不安全地配置；

● 应用程序服务器、应用程序框架 （如: Struts、Spring.ASPNET）、库文件、数据库等没有进行安全配置；

● 服务器不发送安全标头或指令，或者未对服务器进行安全配置；

● 应用程序已过时或使用了存在漏洞的组件。

2、漏洞产生的影响

● 信息泄露

● 后门

● 远程连接（SSH)

● 操作系统命令执行

● 越权访问

3、如何防御?——执行安全的安装过程

● 一个可以快速且易于部署在另一个锁定环境的可重复的加固过程。开发、质量保证和生产环境都应该进行相同配置，并且，在每个环境中使用不同的密码。这个过程应该是自动化的，以尽量减少安装一个新安全环境的耗费。

● 搭建最小化平台，该平台不包含任何不必要的功能、组件、文档和示例。移除或不安装不适用的功能和框架。

● 检查和修复安全配置项来适应最新的安全说明、更新和补丁，并将其作为更新管理过程的一部分，(参见A9: 2017-使用含有已知漏洞的组件) 。在检查过程中，应特别注意云存储权限 (如: S3桶权限) 。

● 一个能在组件和用户间提供有效的分离和安全性的分段应用程序架构，包括: 分段、容器化和云安全组。

● 向客户端发送安全指令，如: 安全标头。

● 在所有环境中能够进行正确安全配置和设置的自动化过程。