安全配置错误
概述
- 错误安全配置可以发生在一个应用程序堆栈的任何层面, 包括平台、web 服务器、应用服务器、框架和自定义代码。开发人员和网络管理员需共同努力, 以确保整个堆栈的正确配置。
- 自动扫描器可用于检测未安装的补丁、错误的配置、默认帐户的使用、不必要的服务等。
安全配置错误常见案例
1 、应用程序服务器管理员控制台自动安装后没有被删除。
2 、默认帐户没有被改变。
3 、目录索引在你的服务器上未被禁用( 目录遍历) 。
4 、错误信息未屏蔽, 导致可以收集错误消息里供的额外信息。
5 、应用服务器自带的示例应用程序没有从您的产服务器中删除, 可能存在漏洞
安全配置错误主要检查点
1 、是否有软件没有被及时更新? 这包括操作系统、web / 应用服务器、数据库管理系统、应用程序和其它所有的代码库文件
2 、是否使用或安装了不必要的功能( 例如, 端口、服务、网页、帐户、权限)
3 、默认帐户的密码是否仍然可用或没有更改?
4 、你的错误处理设置是否防止堆栈跟踪和其他含有大量信息的错误消息被泄露?
5 、你的开发框架( 比如: Struts 、Spring 、ASP.NET) 和库文件中的安全设置是否理解正确井配置恰当?