详解Web应用安全系列(6)安全配置错误

Web攻击中的安全配置错误漏洞是一个重要的安全问题,它涉及到对应用程序、框架、应用程序服务器、Web服务器、数据库服务器等组件的安全配置不当。这类漏洞往往由于配置过程中的疏忽或错误,使得攻击者能够未经授权地访问系统数据或执行系统功能。
安全配置错误类漏洞是指在对Web应用及相关组件进行安全配置时,由于配置不当或疏忽,导致系统存在可被利用的漏洞。这类漏洞在现代Web应用中尤为常见,因为现代应用程序通常都是高度可配置化的。

默认设置未修改

许多web服务器,数据库和应用程序框架安装时都有默认的用户名,密码和配置设置。如果这些默认设置没有在使用前进行修改,黑客就可以利用这些已知信息轻松地访问系统。
比如修改windows server服务器的默认管理员administrator密码:

比如修改CentOS服务器的默认管理员root的密码:

还需要注意的是,服务器管理员密码一定要有足够的复杂度,通常是同时包含大小写字母,数字和特殊字符。

权限分配不当

给某些帐户过高的权限,如允许匿名用户访问敏感资源或允许普通用户执行管理员级别的操作。
比如我们在给应用分配的帐号的时候,仅给了连接和一般的读写的权限,不给管理和DML的权限。

敏感资源未做访问控制

未对敏感资源(如数据库,配置文件,日志文件等)实施适当的访问控制,使得黑客能够轻松获取这些资源。
比如数据库,除了对应用帐号权限和服务器管理员密码的管理之外,通常还需要在上游部署数据库防火墙,进一步保证数据库的安全。

安全补丁未及时更新

在使用已知安全缺陷的软件版本,且未及时安装安全补丁,导致黑客可以利用这些已知漏洞进行攻击。
所以服务器在定时更新安全补丁。

不安全的端口和服务

当开放了不必要的端口和服务,比如未加密的FTP,Telnet等,还有比如windows server下的135,137,138,139,445,3389。
所以一是必须开启防火墙并关闭常见端口,二是修改默认的远程端口,并禁用防火墙中的3389端口。

另外,我最近开发并开源了一个支持免费申请通配符SSL证书的平台:华迅FreeCert,解决了每隔一段时间就要重新申请和部署证书(因为传统的云厂商提供的免费证书一般只有三个月有效期),不支持免费申请通配符证书这两大痛点,欢迎大家注册使用并提供宝贵意见,谢谢!