Термін «неправильна конфігурація безпеки» є дуже загальним і застосовується до будь-якої проблеми безпеки, яка не є результатом помилки програмування, а є результатом помилки конфігурації. Невірні налаштування безпеки були виділені в окрему категорію в списку OWASP TOP-10 за 2017 рік (категорія A6-2017). Як зазначено у визначені, вони можуть відбуватися на будь-якому рівні стека додатків, включаючи мережеві служби, платформи, веб-сервер, сервер додатків, базу даних, фреймворки, код і встановлені віртуальні машини, контейнери або сховище.
Давайте подивимося на найбільш поширені неправильні налаштування безпеки, на які слід звертати увагу, щоб підтримувати безпеку веб-додатків.
Слабкі політики та відсутність належного захисту
Одна з найбільш поширених причин неправильної конфігурації безпеки – це просто недостатня строгість щодо дозволів користувачам і налаштувань безпеки облікового запису, особливо в разі виробничих середовищ. Наприклад, поширеною помилкою є дозвіл для облікового запису користувача, який запускає служби, запускати і оболонки. Якщо це так, і, якщо зловмисник якимось чином отримає доступ до цього облікового запису, він зможе запускати команди в операційній системі. Іншою поширеною помилкою є використання загальних облікових записів для декількох служб – наприклад, запуск веб-сервера і сервера бази даних з одного облікового запису.
Для забезпечення безпеки все служби на робочому сервері повинні запускатися з використанням окремих облікових записів, і ці облікові записи повинні мати мінімальні дозволи – тільки ті, які дійсно потрібні для служби. Такий безпечний поділ привілеїв робить практично неможливим атаки зловмисників.
Налаштування та паролі за замовчуванням
Ще одна дуже поширена причина неправильних налаштувань безпеки – це довіра до налаштувань за замовчуванням. Ви не можете припустити, що професійне програмне забезпечення за замовчуванням захищене. Кожне встановлюється вами програмне забезпечення, включаючи веб-сервер, сервер додатків і сервер бази даних, вимагає ручного налаштування безпеки.
Таке програмне забезпечення зазвичай поставляється з усіма активованими функціями, припускаючи, що користувач може отримати з цього користь. Це небезпечна конфігурація, тому що будь-яка додаткова функція означає додаткову потенційну точку входу для зловмисника. Тому перше, що потрібно зробити при установці нового програмного забезпечення, – це змінити налаштування за замовчуванням і відключити всі непотрібні служби, непотрібні функції і т. д.
Ще одна проблема, з якою стикаються багато компаній, – це використання облікових записів за замовчуванням і паролів за замовчуванням. Наприклад, це може бути застосовано до будь-яких консолей адміністратора, маршрутизаторів, пристроїв IoT і т. Д. Щоб уникнути несанкціонованого доступу, вам слід змінити всі паролі за замовчуванням, і ви повинні знати, як створювати безпечні паролі. Неправильна конфігурація контролю доступу – одна з основних причин серйозних порушень безпеки.
Розкриття інформації
Якщо зловмисник дізнається, який тип програмного забезпечення ви використовуєте в своїй серверній частині, наприклад, тип і номер версії вашого сервера бази даних, йому буде набагато простіше знайти пов’язані вразливості. Ось чому дуже важливо ніколи не розкривати таку інформацію.
У добре налагодженій системі повинна бути налаштована обробка помилок, щоб прибирати будь-які повідомлення про помилки, які можуть дати зловмисникам підказки. Ви також повинні прибрати всі інформаційні банери і будь-яку іншу пряму або опосередковану конфіденційну інформацію, яка може допомогти зловмисникові визначити конфігурацію.
Інший приклад надмірного розкриття інформації – дозвіл списку каталогів. Якщо зловмисник може перерахувати вміст каталогів на веб-сервері, він потенційно може отримати доступ до багатьох незахищених файлів, і ці файли можуть містити конфіденційні дані. Список каталогів вважається серйозним недоліком контролю доступу.
Застаріле програмне забезпечення
Безпека веб-додатків відрізняється від безпеки мережі, але вони тісно пов’язані. Наприклад, помилка в програмному забезпеченні веб-сервера вважається проблемою мережевої безпеки. Такі помилки виникають часто, і деякі з них можуть бути серйозними. Ось чому все програмне забезпечення необхідно контролювати і оновлювати за допомогою самих останніх виправлень безпеки. Чудовим прикладом помилки мережевої безпеки, яка впливає на безпеку веб-додатків і раніше була присутня в багатьох системах, є вразливість Heartbleed.
Отже, для підтримки безпеки веб-додатків дуже важливо регулярно перевіряти апдейти, особливо в разі загальнодоступного програмного забезпечення, такого як веб-сервер.
Як уникнути неправильних налаштувань безпеки?
Найефективніший метод – це регулярне сканування, яке виявляє проблеми з безпекою. Таке сканування має включати виробничі системи і проміжні системи – виробнича конфігурація часто заснована на проміжній конфігурації.
Кращий спосіб перевірити безпеку – це використовувати професійний сканер, який виявляє не тільки неправильні налаштування мережевої безпеки (як це роблять більшість сканерів), але і фокусується на безпеці веб-додатків. Acunetix – це сканер, який допомагає підтримувати надійну архітектуру додатків та допомагає запобігти неправильним налаштуванням в майбутньому. Крім пошуку типових веб-вразливостей, таких як SQLi і XSS, Acunetix знаходить всі проблеми безпеки, перераховані вище, і багато іншого.
