A05:2021 – Segurtasun konfigurazio okerra
Partekatu
Sarrera
Ahultasunaren deskribapena
OWASP Top Ten ahultasunei buruzko argitalpen sorta honen jarraipen gisa, argitalpen honetan A05:2021 ahultasuna komentatuko dugu edo gaztelaniaz: zibersegurtasun konfigurazio okerra.
Zaurgarritasun hau inplementatu gabeko edo gaizki inplementatutako zibersegurtasun konfigurazioei dagokie eta hainbat modutara ager daiteke, konfigurazio lehenetsiak edo seguruak erabiltzeatik, informazio sentikorra alferrikako erakusketara edo beharrezkoak ez diren zerbitzuak gaitu arte.
Aplikazio edo zerbitzari bat behar bezala konfiguratuta ez dagoenean gertatzen da, erasotzaile bati konfigurazio falta hori ustiatzeko aukera ematen dio datu sentikorrak atzitzeko, pribilegioak igotzeko eta aplikazioaren kontrola lortzeko.
Eragina
Ahultasun horrek ondorio latzak izan ditzake erakunde batean.
Segurtasunik gabeko konfigurazio bat baliatuz, erasotzaileek informazio sentikorra eskura dezakete, aplikazioen pribilegioak handitu edo arriskuan dauden baliabideak erabil ditzakete hirugarrenen aurkako erasoak egiteko.
Zaurgarritasun horren eragina puntu hauetan isla daiteke:
- Informazio sentikorra agertzea: sistema bat behar bezala konfiguratuta ez dagoenean, aurkari bati datu sentikorrak atzitzeko baimena eman diezaioke, hala nola erabiltzailearen kredentzialak, informazio pertsonala edo sekretu komertzialak.
- Sistemaren kontrola: Kasu batzuetan, konfigurazio okerrak sistemaren kontrol osoa hartzeko gaitasuna eman diezaieke erasotzaileei, datuak aldatzeko edo suntsitzeko edo sistemaren baliabideak beste eraso batzuk egiteko aukera emanez.
- Sistemaren erabilgarritasunaren konpromezua: Aurkari batek konfigurazio okerra aprobetxatu dezake aplikazioaren edo zerbitzariaren funtzionamendu normala oztopatzen duten zerbitzuaren ukapenaren (DoS) erasoak abiarazteko, eta horrek erabiltzaile legitimoentzako zerbitzuen erabilgarritasuna eragin dezake.
- Sistema eraso-plataforma gisa erabiltzea: Segurtasun-konfigurazio eskasa dela-eta arriskuan dauden sistemak beste sistema batzuei erasoak abiarazteko plataforma gisa erabil ditzakete erasotzaileek, eta horrek kaltearen irismena asko zabal dezake.
Adibide praktikoak
Kredentzialak esposizioa aplikazioaren iturburu-kodean eta pribilegioak handitzea
Ahultasun horren adibiderik ohikoenetako bat aplikazio bat konfigurazio lehenetsiekin, garapen-fasean erabilitako aplikazio-kodeko pasahitzak edo beharrezkoak baino zabalagoak diren erabiltzailearen baimenekin zabaltzen denean da.
Hori frogatzeko, Zerolynx web laborategia pribilegiorik gabeko erabiltzaile batekin sartzen da, kasu honetan user1 .
Aplikazio-fitxategiaren egituraren erakusketa
Eskuragarritasuna konprometitua software ahulena dela eta
Aringarriak
- Errepikatu daitekeen gogortze-prozesuak azkar eta erraz hedatzea eta behar bezala inplementatzea lortzen du. Garapen, QA eta ekoizpen inguruneak berdin konfiguratu behar dira, bakoitzean kredentzial desberdinak erabiliz.
- Alferrikako ezaugarri, osagai, dokumentazio eta laginrik gabeko plataforma minimoa.
- Berrikusi eta eguneratu segurtasun-argitalpen, eguneratze eta adabaki guztien konfigurazio egokiak adabakiak kudeatzeko prozesuaren barruan.
- Aplikazioen osagaien arteko bereizketa eraginkorra eta segurua eskaintzen duen aplikazio-arkitektura segmentatu baten erabilera.
- Segurtasun goiburuen ezarpen zuzena.
- Hartutako neurrien eraginkortasuna bermatzen duten ekoizpenera zabaldu aurretik prozesu automatikoak ezartzea.