Конфигурация безопасности возникает, когда параметры безопасности определены, реализованы и сохранены как значения по умолчанию. Для обеспечения безопасности требуется безопасная конфигурация, определенная и развернутая для приложения, веб-сервера, сервера базы данных и платформы. Не менее важно обновить программное обеспечение.

Некоторые классические примеры ошибочной настройки безопасности приведены как:

  • Если список каталогов не отключен на сервере, и если злоумышленник обнаруживает то же самое, злоумышленник может просто перечислить каталоги, чтобы найти любой файл и выполнить его. Также возможно получить фактическую базу кода, которая содержит весь ваш собственный код, а затем найти серьезные недостатки в приложении.
  • Конфигурация сервера приложений позволяет отслеживать трассировки стека для пользователей, потенциально подвергая уязвимости. Атакующие захватывают ту дополнительную информацию, которую предоставляют сообщения об ошибках, которых достаточно для их проникновения.
  • Серверы приложений обычно поставляются с примерами приложений, которые недостаточно хорошо защищены. Если не удалено с сервера производства, это приведет к компрометации вашего сервера.

Профилактические механизмы

  • Все среды, такие как Development, QA и производственные среды, должны быть настроены одинаково с использованием разных паролей, используемых в каждой среде, которые невозможно легко взломать.
  • Убедитесь, что применяется сильная архитектура приложения, которая обеспечивает эффективное и надежное разделение между компонентами.
  • Это также может свести к минимуму возможность этой атаки путем автоматического сканирования и периодических проверок.