Web攻擊中的安全配置錯誤漏洞是一個重要的安全問題,它涉及到對應用程式、框架、應用程式伺服器、Web伺服器、資料庫伺服器等元件的安全配置不當。這類漏洞往往由於配置過程中的疏忽或錯誤,使得攻擊者能夠未經授權地訪問系統資料或執行系統功能。安全配置錯誤類漏洞是指在對Web應用及相關元件進行安全配置時,由於配置不當或疏忽,導致系統存在可被利用的漏洞。這類漏洞在現代Web應用中尤為常見,因為現代應用程式通常都是高度可配置化的。
預設設定未修改
許多web伺服器,資料庫和應用程式框架安裝時都有預設的使用者名稱,密碼和配置設定。如果這些預設設定沒有在使用前進行修改,駭客就可以利用這些已知資訊輕鬆地訪問系統。
比如修改windows server伺服器的預設管理員administrator密碼:
比如修改CentOS伺服器的預設管理員root的密碼:
還需要注意的是,伺服器管理員密碼一定要有足夠的複雜度,通常是同時包含大小寫字母,數字和特殊字元。
許可權分配不當
給某些帳戶過高的許可權,如允許匿名使用者訪問敏感資源或允許普通使用者執行管理員級別的操作。
比如我們在給應用分配的帳號的時候,僅給了連線和一般的讀寫的許可權,不給管理和DML的許可權。
敏感資源未做訪問控制
未對敏感資源(如資料庫,配置檔案,日誌檔案等)實施適當的訪問控制,使得駭客能夠輕鬆獲取這些資源。
比如資料庫,除了對應用帳號許可權和伺服器管理員密碼的管理之外,通常還需要在上游部署資料庫防火牆,進一步保證資料庫的安全。
安全補丁未及時更新
在使用已知安全缺陷的軟體版本,且未及時安裝安全補丁,導致駭客可以利用這些已知漏洞進行攻擊。
所以伺服器在定時更新安全補丁。
不安全的埠和服務
當開放了不必要的埠和服務,比如未加密的FTP,Telnet等,還有比如windows server下的135,137,138,139,445,3389。
所以一是必須開啟防火牆並關閉常見埠,二是修改預設的遠端埠,並禁用防火牆中的3389埠。
另外,我最近開發並開源了一個支援免費申請萬用字元SSL證書的平臺:華迅FreeCert,解決了每隔一段時間就要重新申請和部署證書(因為傳統的雲廠商提供的免費證書一般只有三個月有效期),不支援免費申請萬用字元證書這兩大痛點,歡迎大家註冊使用並提供寶貴意見,謝謝!