安全配置錯誤可能發生在應用程式堆疊的任何級別,包括網路服務、平臺、Web伺服器應用伺服器、資料庫、框架、自定義程式碼和預安裝的虛擬機器、容器。攻擊者利用這些漏洞能經常訪問一些未授權的系統資料或功能。有時,這些漏洞導致系統被完全攻破。
通常,攻擊者能夠透過未修復的漏洞訪問預設賬戶、不再使用的頁面、未受保護的檔案和目錄等來取得對系統的未授權的訪問或瞭解。安全配置錯誤可以發生在一個應用程式堆疊的任何層面,包括網路服務、平臺、Web伺服器、應用伺服器資料庫、框架、自定義程式碼和預安裝的虛擬機器、容器和儲存。自動掃描器可用於檢測錯誤的安全配置、預設帳戶的使用或配置、不必要的服務、遺留選項等。
這些漏洞使攻擊者能經常訪問一些未授權的系統資料或功能。有時,這些漏洞導致系統的完全攻破。業務影響取決於您的應用程式和資料的保護需求。
1、漏洞產生的原因
● 產品環境下沒有更改初始密碼,預設帳戶的密碼仍然可用;
● 沒有加固作業系統/資料庫/應用伺服器/Web伺服器等,或者許可權配置錯誤;
● 應用程式啟用或安裝了不必要的功能(例如:不必要的埠、服務、網頁、帳戶或許可權);
● 錯誤處理機制向使用者披露大量錯誤資訊;
● 對於更新的系統,最新的安全功能被禁用或不安全地配置;
● 應用程式伺服器、應用程式框架 (如: Struts、Spring.ASPNET)、庫檔案、資料庫等沒有進行安全配置;
● 伺服器不傳送安全標頭或指令,或者未對伺服器進行安全配置;
● 應用程式已過時或使用了存在漏洞的元件。
2、漏洞產生的影響
● 資訊洩露
● 後門
● 遠端連線(SSH)
● 作業系統命令執行
● 越權訪問
3、如何防禦?——執行安全的安裝過程
● 一個可以快速且易於部署在另一個鎖定環境的可重複的加固過程。開發、質量保證和生產環境都應該進行相同配置,並且,在每個環境中使用不同的密碼。這個過程應該是自動化的,以儘量減少安裝一個新安全環境的耗費。
● 搭建最小化平臺,該平臺不包含任何不必要的功能、元件、文件和示例。移除或不安裝不適用的功能和框架。
● 檢查和修復安全配置項來適應最新的安全說明、更新和補丁,並將其作為更新管理過程的一部分,(參見A9: 2017-使用含有已知漏洞的元件) 。在檢查過程中,應特別注意雲端儲存許可權 (如: S3桶許可權) 。
● 一個能在元件和使用者間提供有效的分離和安全性的分段應用程式架構,包括: 分段、容器化和雲安全組。
● 向客戶端傳送安全指令,如: 安全標頭。
● 在所有環境中能夠進行正確安全配置和設定的自動化過程。