首页 > 编程语言 >网安云知识 | OWASP TOP 10之安全配置错误

网安云知识 | OWASP TOP 10之安全配置错误

时间:2024-03-08 14:01:01浏览次数:24  
标签:10 安全 TOP 配置 应用程序 OWASP 漏洞 攻击者 服务器

这些漏洞使攻击者能经常访问一些未授权的系统数据或功能。有时,这些漏洞导致系统的完全攻破。业务影响取决于您的应用程序和数据的保护需求。

安全配置错误可能发生在应用程序堆栈的任何级别,包括网络服务、平台、Web服务器应用服务器、数据库、框架、自定义代码和预安装的虚拟机、容器。攻击者利用这些漏洞能经常访问一些未授权的系统数据或功能。有时,这些漏洞导致系统被完全攻破。

通常,攻击者能够通过未修复的漏洞访问默认账户、不再使用的页面、未受保护的文件和目录等来取得对系统的未授权的访问或了解。安全配置错误可以发生在一个应用程序堆栈的任何层面,包括网络服务、平台、Web服务器、应用服务器数据库、框架、自定义代码和预安装的虚拟机、容器和存储。自动扫描器可用于检测错误的安全配置、默认帐户的使用或配置、不必要的服务、遗留选项等。

这些漏洞使攻击者能经常访问一些未授权的系统数据或功能。有时,这些漏洞导致系统的完全攻破。业务影响取决于您的应用程序和数据的保护需求。

1、漏洞产生的原因

● 产品环境下没有更改初始密码,默认帐户的密码仍然可用;

● 没有加固操作系统/数据库/应用服务器/Web服务器等,或者权限配置错误;

● 应用程序启用或安装了不必要的功能(例如:不必要的端口、服务、网页、帐户或权限);

● 错误处理机制向用户披露大量错误信息;

● 对于更新的系统,最新的安全功能被禁用或不安全地配置;

● 应用程序服务器、应用程序框架 (如: Struts、Spring.ASPNET)、库文件、数据库等没有进行安全配置;

● 服务器不发送安全标头或指令,或者未对服务器进行安全配置;

● 应用程序已过时或使用了存在漏洞的组件。

2、漏洞产生的影响

● 信息泄露

● 后门

● 远程连接(SSH)

● 操作系统命令执行

● 越权访问

3、如何防御?——执行安全的安装过程

● 一个可以快速且易于部署在另一个锁定环境的可重复的加固过程。开发、质量保证和生产环境都应该进行相同配置,并且,在每个环境中使用不同的密码。这个过程应该是自动化的,以尽量减少安装一个新安全环境的耗费。

● 搭建最小化平台,该平台不包含任何不必要的功能、组件、文档和示例。移除或不安装不适用的功能和框架。

● 检查和修复安全配置项来适应最新的安全说明、更新和补丁,并将其作为更新管理过程的一部分,(参见A9: 2017-使用含有已知漏洞的组件) 。在检查过程中,应特别注意云存储权限 (如: S3桶权限) 。

● 一个能在组件和用户间提供有效的分离和安全性的分段应用程序架构,包括: 分段、容器化和云安全组。

● 向客户端发送安全指令,如: 安全标头。

● 在所有环境中能够进行正确安全配置和设置的自动化过程。

标签:10,安全,TOP,配置,应用程序,OWASP,漏洞,攻击者,服务器
From: https://www.cnblogs.com/wanyunsecurity/p/18060827

相关文章

  • 第101天-python-flask简介
    1.flask1.1、flask简介Flask简介:Flask诞生于2010年,是用Python语言基于Werkzeug工具箱编写的轻量级Web开发框架。Flask本身相当于一个内核,其他几乎所有的功能都要用到扩展(邮件扩展Flask-Mail,用户认证Flask-Login),都需要用第三方的扩展来实现。其WSGI工具箱采用Werkzeug(路由......
  • KBPC3510-ASEMI逆变器整流桥KBPC3510
    编辑:llKBPC3510-ASEMI逆变器整流桥KBPC3510型号:KBPC3510品牌:ASEMI封装:KBPC-4正向电流(Id):35A反向耐压(VRRM):1000V正向浪涌电流:400A正向电压(VF):1.00V引脚数量:4芯片个数:4芯片尺寸:MIL功率(Pd):大功率设备工作温度:-55°C~150°C类型:插件整流桥、整流桥KBPC3510整流桥描述:AS......
  • 文心一言 VS 讯飞星火 VS chatgpt (210)-- 算法导论16.1 1题
    一、根据递归式(16.2)为活动选择问题设计一个动态规划算法。算法应该按前文定义计算最大兼容活动集的大小c[i,j]并生成最大集本身。假定输入的活动已按公式(16.1)排好序。比较你的算法和GREEDY-ACTIVITY-SELECTOR的运行时间。如何要写代码,请用go语言。文心一言:活动选择问题是一......
  • 初中英语优秀范文100篇-100Confidence has changed me-自信改变了我
    PDF格式公众号回复关键字:SHCZFW100记忆树1RecentlyI’vehadachangeinmylife.翻译最近我的生活发生了一些变化简化记忆变化句子结构时间状语“Recently”修饰整个句子,表示动作发生的时间主语I,谓语’vehad,宾语achange,介词短语“inmylife”进一步描述了......
  • 10. 数据通信
    一、数据通信方式  按数据通信方式分类,可分为串行通信和并行通信两种。串行和并行的对比如下图所示:  串行通信的基本特征是数据逐位顺序依次传输,优点是传输线少、布线成本低、灵活度高等优点,一般用于近距离人机交互,特殊处理后也可以用于远距离,缺点就是传输速率低。......
  • JS数组去重的10种方法
    vararr=[1,1,'true','true',true,true,15,15,false,false,undefined,undefined,null,null,NaN,NaN,'NaN',0,0,'a','a',{},{}]利用Set(ES6中最常用)functionuseSet(arr){returnArray.from(newSet(arr))} 利用for......
  • P1525 [NOIP2010 提高组] 关押罪犯
    原题链接题解1:按边权从大到小排序,如果这条边的两个点没确定关系,那么把他们设为敌人这样,就成了一棵棵最大生成树(因为有的罪犯之间没有怨气)由敌人的敌人是朋友可以得出,如果两个点在同一棵树,且距离为偶数,那么代表他们之间互为朋友code1#include<bits/stdc++.h>usingnamespace......
  • 【Win10】完美去除桌面快捷方式图标左下角的小箭头,亲测有效!
    在安装软件过程中,选择创建快捷方式后,桌面上会出现一个如下图一样的左下角带有弯弯小箭头的程序图标,看起来非常不美观。那么我们如何去除这个小箭头呢?接下来给大家介绍一种既快捷又实用的操作方式。而且亲测有效!去除图标的详细操作步骤:第一步:桌面创建文本文档第二步:将下面内......
  • 计讯物联环保数采仪TS910全力打造绿色宜居生态环境
    植树造林自古以来就有调节气候、涵养水源、减轻大气污染的益处。如今,随着科技的迅速发展,我们除了能够以植树造林来改善生活环境,保持生态系统,还能通过物联网、大数据、云计算、边缘计算、人工智能等新一代信息技术集成应用于监测管控区域的空气质量与森林的全周期动态情况,实时监测......
  • Hi1102A和Hi1105模块在远距离无线图传领域的选型浅析
    Hi1102A和Hi1105V500都是属于海思旗下的两款WIFI+BT+GNSS+FM四功能一体(江湖俗称四合一)高性能方案,应该可以推出,这个原本是在手机方案集成使用的,本身海思有视频安防主控HI315X系列平台,如果搭配上自己的无线phy芯片,一体化集成的性能应该就完美,于是有了远距离无线图传模块化集成的......