Yanlış Güvenlik Yapılandırması OWASP TOP 10 içinde projelerde yaygın kaldığından ve istatistiklere göre şirketlerin yaklaşık% 42’sine duyarlı olduğundan altıncı sırada yer almaktadır.
Bir Web uygulamasının güvenliğini sağlamak, tüm altyapı bileşenlerinin güvenli bir şekilde yapılandırılmasını gerektirir. Uygulama bileşenleri (frameworks gibi), web sunucusu, veritabanı sunucusu ve platformun kendisidir. Sunucu bileşenlerinin varsayılan ayarları genellikle güvensizdir ve saldırılar için fırsatlar yaratır. Örneğin, bir XSS saldırısında JavaScript aracılığıyla bir oturum çerezinin çalınması, varsayılan olarak devre dışı bırakılan cookie_http only ayarı sayesinde mümkün hale gelir.
Sunucu doğru şekilde yapılandırılmış ise ve cookie_httponly seçeneği etkinleştirilmişse, JavaScript aracılığıyla bir oturum tanımlama bilgisi almak imkansızdır, ancak bu basit ve önemli ayar, ödeme sistemlerinin kişisel hesapları gibi kritik yerlerde genellikle eksiktir.
Yanlış Güvenlik Yapılandırması Güvenlik açığına bir başka örnek, Redis (açık kaynak veri yapısı sunucusu), Memcached (genel amaçlı dağıtılmış bir bellek ön bellekleme sistemi) ve diğerleri gibi veritabanı sunucularında varsayılan ayarların kullanılmasıdır. Özel bir hizmete sunucunun genel IP adresinden erişilebilir ve / veya üretici tarafından varsayılan olarak belirlenen parolalar kullanılmıştır. Bu, bir saldırganın, aralarında genellikle oturum çerezlerinin (zaten bildiğimiz) ve tarayıcıda kullanıcılara görüntülenen verilerin (ayrıca bir XSS saldırısının kullanılmasını mümkün kılan) bulunduğu verileri kolayca okuyup değiştirmesine olanak tanır.
Yazılımların her zaman güncel olması gerekir. Güvenlik açıkları her gün çok çeşitli işletim sistemi, web sunucuları, veritabanı sunucuları, posta sunucuları vb. gibi yazılım bileşenlerinde bulunur. Ve uygulamanız düzgün bir şekilde yazılsa ve gelen tüm verileri dikkatlice kontrol etse ve genel olarak iyi korunsa bile, bu, bir gün işletim sisteminizde veya Web sunucunuzda bir güvenlik açığı olmayacağı anlamına gelmez.
Yani uygulamanın herhangi bir seviyesinde yanlış güvenlik yapılandırması meydana gelebilir:
– ağ hizmetleri
– Web sunucusu
– veri tabanı
– önceden yüklenmiş sanal makineler
– depolama
Yukarıda listelenen yanlış güvenlik ayarlarından nasıl kaçınabilirim?
En etkili yöntem, güvenlik sorunlarını tanımlayan düzenli sızma testleridir. Bu taramalar, üretim sistemlerini ve aşamalandırma sistemlerini içermelidir.
Güvenliği kontrol etmenin en iyi yolu, yalnızca ağ güvenliğindeki (çoğu tarayıcının yaptığı gibi) yanlış yapılandırmaları algılayan değil, aynı zamanda web uygulamalarının güvenliğine odaklanan profesyonel bir tarayıcı kullanmaktır .
Yanlış güvenlik ayarlarının çok yaygın bir başka nedeni, varsayılan ayarlara güvendir. Profesyonel yazılımın varsayılan olarak korunduğunu düşünmemelisiniz. Web sunucusu, uygulama sunucusu ve veritabanı sunucusu dahil olmak üzere yüklediğiniz her yazılım, manuel güvenlik yapılandırması gerektirir.
Bir OWASP sızma testi, özellikle kurum içinde web uygulamaları geliştirenler ve / veya üçüncü taraflarca geliştirilen uzman uygulamaları kullanan kuruluşlar için bir dizi önemli avantaj sunduğunu unutmamlıdır.
OWASP sızma /penetrasyon testi, en son web uygulama geliştirme teknikleri ve en son güvenlik tehditleri konusunda uzman bilgisi olan sertifikalı etik bilgisayar korsanları tarafından yürütülür.