Security Misconfiguration

当安全环境被界定、实施和维持为违约时,便会出现安全混乱。 良好的安全需要一个安全配置,用于应用、网络服务器、数据库服务器和平台。 更新软件也同样重要。

Example

某些典型的安全配置不公的实例是:

如果目录在服务器上没有残疾,如果攻击者发现同样的话,袭击者只能列出目录,以便找到任何档案并加以执行。 还有可能获得包含你们所有习俗法典的实际法典基础,然后在申请中发现严重缺陷。

应用服务器配置可以向用户归还 st痕,从而有可能消除潜在的缺陷。 袭击者抓住错误信息提供的这些额外信息,这些信息足以使其渗透。

应用服务器通常会收到一些取样器,这些器具没有很好的安全保障。 如果不从生产服务器中删除,就会损害服务器。

Hands ON

Step 1——发射Webgoat和导航到不安全的配置科,让我们努力解决这一挑战。 下表提供了同样的情况:

我们可以像我们想象的那样,尝试尽可能多的选择。 我们大家都需要找到汇号的URL,我们知道,开发商遵循的是集散文档命名公约。 它可以是以下所列内容。 通常由BRUTE部队技术进行。

web.config

config

appname.config

conf

在尝试各种选择时,我们发现http:// localhost:80/WebGoat/conf是成功的。 如果尝试成功,则展示以下一页:

Preventive Mechanisms

一切环境,如发展、质量保证和生产环境,都应采用不能轻易破灭的每一种环境中所用的不同密码加以配置。

确保采用强有力的应用架构,有效、有保障地区分各组成部分。

它还可以通过运行自动扫描和定期进行审计,尽可能减少这种攻击的可能性。