错误的安全配置

翻译原文地址：https://www.owasp.org/index.php/Top_10_2013-A5-Security_Misconfiguration

威胁载体:

    匿名的外部攻击者以及拥有自己账户的用户，尝试去威胁系统。以及企图掩饰他们行为的内部人员。

攻击媒介:

    攻击者访问默认账户，无效页面，没打补丁的漏洞，未受保护的文件及文件夹等，以获得未授权的访问或对应用系统进行了解和分析。

安全弱点：

    错误的安全配置可能会发生在应用栈的任何一个层级上，包括平台，Web服务器，应用服务器，数据库，框架，以及自定义代码。开发者以及系统管理员需要协作以确保整个栈被正确的配置。自动扫描器对检测未打补丁，错误配置，使用默认用户，不必要的服务等等很有帮助。

技术影响：

    系统会在你完全无察觉的情况下整体受到威胁。你所有的数据都可能被窃取或修改。修复成本可能会很昂贵

应用/业务影响：

    系统会在你完全无察觉的情况下整体受到威胁。你所有的数据都可能被窃取或修改。修复成本可能会很昂贵

我是否容易在“错误安全配置”中遭受攻击？

    你的应用是不是未进行对整个应用栈进行正确的安全固化？包括：

        1.你的某些软件是否过期了？包括操作系统，网络/应用服务器，数据库管理系统，应用程序，以及所有的代码库（见新A9）。

        2.是否某些不需要的特性被开启或安装？例如端口，服务，页面，账户，权限？

        3.是否默认账户和他们的密码仍然开启并且未改变？

        4.你的错误处理是否暴露出堆栈的痕迹，或者错误信息直接暴露给了用户？

        5.在你的开发框架（例如Struts,Spring,ASP.NET）中的安全设置和库没有被设置为安全值？

        

        没有一致的，可重复的应用安全设置处理，系统会处于高风险中。

我应该如何防范“错误安全配置”？

    主要的建议如下：

        1.一个可重复的固化处理，允许快速且容易地正确部署到另外一个环境的方法需要被固化下来。开发，质保，以及生产环境应该被全面地同等地配置（在每个环境中使用不同的密码）。这个处理应该使安装一个新安全环境的代价最小化。

        2.保持了解最新软件更新、补丁以及及时部署到所有发布环境中，同时也包括所有代码库。

        3.一个健壮的应用架构很关键，以及组件之间的安全隔离。

        4.进行扫描和定期的评审以帮助检查未来的错误配置或漏掉的补丁。

攻击场景举例：

   

    场景1：应用服务器管理控制台被自动安装并且没有被移除。默认账户没有改变。攻击者在你服务器上发现了标准管理页面，使用默认密码进登录，并进行接管。

    场景2：目录监听在你服务器上没有被禁用。攻击者发现她可以轻松的列出所有文件夹去查找文件。攻击者找到并且下载你所有的编译过的Java类，然后她进行反编译和逆向工程以获得你所有的代码。然后她在你应用中发现了一个访问控制漏洞。

    场景3:应用服务器配置允许堆栈信息返回给用户，可能泄露潜在的漏洞。攻击者爱死错误信息了~。

    场景4:应用程序中带有样例程序，并且没有被从你的生产环境服务器上移除。样例程序中可能包含很多广为人知的安全漏洞，

             攻击者会使用它们去威胁你的服务器。