Неправильные конфигурации безопасности и их последствия для веб-безопасности

Термин «неправильная конфигурация безопасности» является очень общим и применяется к любой проблеме безопасности, которая не является результатом ошибки программирования, а является результатом ошибки конфигурации. Неверные настройки безопасности были выделены в отдельную категорию в списке OWASP Top-10 за 2017 год (категория A6-2017). Как указано в определении, они могут происходить на любом уровне стека приложений, включая сетевые службы, платформу, веб-сервер, сервер приложений, базу данных, фреймворки, настраиваемый код и предустановленные виртуальные машины, контейнеры или хранилище.

Давайте посмотрим на наиболее распространённые неправильные настройки безопасности, на которые следует обращать внимание, чтобы поддерживать безопасность веб-приложений.

Слабые разрешения и отсутствие защиты

Одна из наиболее распространённых причин неправильной конфигурации безопасности — это просто недостаточная строгость в отношении разрешений пользователей и настроек безопасности учётной записи, особенно в случае производственных сред. Например, распространённой ошибкой является разрешение учётной записи пользователя, запускающей службу, запускать оболочки. Если это так, и, если злоумышленник каким-то образом получит доступ к этой учётной записи, он сможет запускать команды в операционной системе. Другой распространённой ошибкой является использование общих учётных записей для нескольких служб — например, запуск веб-сервера и сервера базы данных из одной учётной записи.

Для обеспечения безопасности все службы на рабочем сервере должны запускаться с использованием отдельных учётных записей, и эти учётные записи должны иметь абсолютно минимальные разрешения — только те, которые действительно требуются для службы. Такое безопасное разделение привилегий делает практически невозможным атаки злоумышленников.

Настройки по умолчанию и пароли по умолчанию

Ещё одна очень распространённая причина неверных настроек безопасности — это доверие настройкам по умолчанию. Вы не можете предположить, что профессиональное программное обеспечение по умолчанию защищено. Каждое устанавливаемое вами программное обеспечение, включая веб-сервер, сервер приложений и сервер базы данных, требует ручной настройки безопасности.

Такое программное обеспечение обычно поставляется со всеми активированными функциями, предполагая, что пользователь может извлечь из этого пользу. Это небезопасная конфигурация, потому что любая дополнительная функция означает дополнительную потенциальную точку входа для злоумышленника. Поэтому первое, что нужно сделать при установке нового программного обеспечения, — это изменить настройки по умолчанию и отключить все ненужные службы, ненужные функции и т. д.

Ещё одна проблема, с которой сталкиваются многие компании, — это использование учётных записей по умолчанию и паролей по умолчанию. Например, это применимо к любым консолям администратора, маршрутизаторам, устройствам IoT и т. д. Чтобы избежать несанкционированного доступа, вам следует изменить все пароли по умолчанию, и вы должны знать, как создавать безопасные пароли. Неправильная конфигурация контроля доступа — одна из основных причин серьёзных нарушений безопасности.

Раскрытие информации

Если злоумышленник узнает, какой тип программного обеспечения вы используете в своей серверной части, например, тип и номер версии вашего сервера базы данных, ему будет намного проще найти связанные уязвимости. Вот почему очень важно никогда не раскрывать такую информацию злоумышленнику.

В хорошо настроенной системе должна быть настроена обработка ошибок, чтобы подавлять любые сообщения об ошибках, которые могут дать злоумышленникам подсказки. Вы также должны убрать все информационные баннеры и любую другую прямую или косвенную конфиденциальную информацию, которая может помочь злоумышленнику определить конфигурацию.

Другой пример чрезмерного раскрытия информации — разрешение списка каталогов. Если злоумышленник может перечислить содержимое каталогов на веб-сервере, он потенциально может получить доступ ко многим незащищённым файлам, и эти файлы могут содержать конфиденциальные данные. Список каталогов считается серьёзным недостатком контроля доступа.

Устаревшее программное обеспечение

Безопасность веб-приложений отличается от безопасности сети, но они тесно связаны. Например, ошибка в программном обеспечении веб-сервера считается проблемой сетевой безопасности. Такие ошибки возникают часто, и некоторые из них могут быть серьёзными. Вот почему все программное обеспечение необходимо контролировать и обновлять с помощью самых последних исправлений безопасности. Отличным примером ошибки сетевой безопасности, которая влияет на безопасность веб-приложений и по-прежнему присутствует во многих системах, является ошибка Heartbleed.

Следовательно, для поддержания безопасности веб-приложений очень важно регулярно проверять апдейты, особенно в случае общедоступного программного обеспечения, такого как веб-сервер.

Как избежать неверных настроек безопасности, перечисленных выше, и других?

Самый эффективный метод — это регулярное сканирование, которое выявляет проблемы с безопасностью. Такое сканирование должно включать производственные системы и промежуточные системы — производственная конфигурация часто основана на промежуточной конфигурации.

Лучший способ проверить безопасность — это использовать профессиональный сканер, который обнаруживает не только неправильные настройки сетевой безопасности (как это делают большинство сканеров), но и фокусируется на безопасности веб-приложений. Acunetix — это сканер, который помогает поддерживать надёжную архитектуру приложения и помогает предотвратить неправильные настройки в будущем. Помимо поиска типичных веб-уязвимостей, таких как SQLi и XSS, Acunetix находит все проблемы безопасности, перечисленные выше, и многое другое.

Источник

Подписаться на новости