A6:Security Misconfiguration
Вернуться назад

А теперь рассмотрим Security Misconfiguration OWASP TOP 10, он на шестом месте, так как этот вид уязвимости, как и предыдущая уязвимость, остается распространенной на проектах и по статистике примерно 42% компаний подвержены к ней.

Видим теперь как работает злоумышленник для использования этой уязвимостью, он просто перебирает страницы в надежде на то, что к какой-то из страниц будет доступ. И если админ не убрал дефолтные доступы к этим страницам, то ему будет где разгуляться с полученными данными на этих каталогах.

gallery/выделение_009

Эта уязвимость рассчитана на ебланство))) То-есть на человеческий фактор, который приводит к этой уязвимости.

Вектор атаки, злоумышленника нацелен на получение доступа к учетным записям по умолчанию, к неиспользуемым страницам, к не защищенным файлам и каталогам и т.д. Для того, чтобы получить несанкционированный доступ к системе.

 

Неправильная настройка безопасности может происходить на любом уровне стека приложений:

- сетевые службы

- веб-сервер

- базу данных

- предустановленные виртуальные машины

- контейнеры

- хранилище

 

Из перечисленного выше, такие недостатки часто дают злоумышленникам несанкционированный доступ к некоторым системным данным или функциям. Иногда такие недостатки приводят к полному краху системы. 

 

Эта уязвимость может очень сильно влиять бренд вашей компании, соответственно лучше ее не иметь...

 

А теперь приведу пару примеров про эту уязвимость. 

1) На картинке приведенной выше, наш первый пример, и это дефолтные настройки учетки администратора. Как мы знаем самая первая учетка имеет дефолтные креденшены для авторизации в проект, соответственно, когда мы уже настроили всю инфраструктуру нашего проекта через дефолтную учетку, мы часто забываем про то, чтоб сменить ее на кастомные настройки. И когда злоумышленник употребив дефолтные настройки к админке, будет иметь доступ к нашей системе 

2) Во второй пример можно отнести такой случай, когда мы не закрыли доступ к определенным каталогам на сервере. Эти настройки делаются в файле Robots.txt, где мы настраиваем к каким страницам есть доступ, на какие каталоги мы закрываем индексацию поисковиков, наверно слышали про случаи, когда поисковики проиндексировали конфидициальные страницы гугл доков, страниц с паролями каких-то веб проектов, не будем называть точное название. Соответственно эти страницы оказались в публичном доступе. На картинке выше, приведен пример настроек страниц в robots.txt, для которых открыт доступ, даже для незарегистрированных пользователей. В качестве пример используется приложение BWapp.

У нее в настройках этого файла указан доступ к страницам:

- админ

- документы

- картинки

- и пароли

 

Давайте попробуем открыть браузер в инкогнито и перейти на данный каталог (admin и passwords) в открытом доступе. Посмотрим что из этого получится...

3) В качестве третьего примера можно привести дефолтно открытые порты, например порт Memcached. Если ваше приложение использует мемкеш и у вас этот порт в открытом доступе, то через него можно загрузить всю оперативку ваших серваков, что приведет к неисправности работу вашей системы. Как это было в 2017 году, все кто использовал в качестве защиты cloudflare своих серваков получили хорошенькую атаку, от которой не каждого сервак смог выдержать. Злоумышленники просто слали огромный объем данных на UDP серваки cloudflare, который работает в режиме отдачи данных, но не проверяет дошли эти данные или нет. Ну вы представляете размер трагедии... Серваков cloudflare много, а когда например с нескольких серваков сводилось все к нашему одному, единственному, так сказать, целевому серваку, который не успевал обрабатывать эти все данные и просто тухнул от переполнения оперативной памяти. И по статистике когда проходила такая атака, было задействовано 250 гб данных в секунду, представляете какие мощные машины были использованы для этого...

Как понять что уязвимы:

- Включены или установлены ненужные функции (порты, службы, страницы, учетные записи или привилегии)

- Используем учетные записи с паролями по умолчанию

- Обработка ошибок с чрезмерно информативными сообщениями

- Программное обеспечение устарело или уязвимо, можно посмотреть как это работает в этой статье

 

Как защитится:

- Минимизировать платформу, убирать лишние функции, компоненты

- Обновляйте компоненты с известными уязвимостями, можно посмотреть как это работает в этой статье

- Не отправлять в заголовках информацию касающеюся безопасности

- Не использовать настройки которые задаются по умолчанию

И ПОМНИТЕ ВСЕ ПОКАЗАННОЕ ВЫШЕ, СДЕЛАНО В ЦЕЛЯХ ОБУЧЕНИЯ!!!

МОЖНО ПРИМЕНЯТЬ ТОЛЬКО НА СВОИХ ПРОЕКТАХ, ПОСЛЕ РАЗРЕШЕНИЯ

gallery/выделение_113
gallery/3333333
gallery/выделение_116
gallery/выделение_117
gallery/выделение_118
gallery/выделение_119

Хотите узнать больше о различных уязвимостях и инструментах для поиски этих же уязвимостей, чтоб сделать ваш проект безопасным, для ваших пользователей? 

Мы организовываем тренинги по OWASP TOP 10. 

Буду рад вас видеть на тренинге!

 

Программа тут