在 2019 年,平安钻研人员发现 Atlassian JIRA 中存在平安配置谬误,这是一款寰球超过 100,000 家组织和政府机构应用的项目管理软件。JIRA 配置谬误容许任何人通过简略的搜寻查问拜访敏感信息,包含企业员工姓名、电子邮件地址和无关外部秘密我的项目的秘密详细信息。平安配置谬误已成为非常常见的问题,也导致成千上万的企业组织容易蒙受重大的网络攻击和数据泄露。
那么什么是平安配置谬误呢?企业该当如何发现、修复和防止平安配置谬误?浏览本文,带你一探到底。
什么是平安配置谬误?
当根本平安设置未施行或施行时呈现谬误时,就会呈现平安配置谬误。此类谬误会造成危险的安全漏洞,使应用程序及其数据(以及企业组织自身)容易受到网络攻击或毁坏。这些谬误可能产生在应用程序堆栈的任何级别,包含:
- Web 或应用程序服务器
- 数据库
- 网络服务
- 自定义代码
- 开发平台和框架
- 虚拟机
- 云容器
什么会导致平安配置谬误?
大多数配置谬误的产生是因为系统管理员未能更改设施或应用程序的默认配置(或“开箱即用”的帐户设置)。保留长期配置也可能导致谬误配置和破绽,而及时更改这些设置能够最大限度地缩小攻打的可能性。这里咱们将列举几个平安配置谬误的常见起因。
未修补的破绽
歹意攻击者利用未打补丁或过期的软件来未经受权拜访企业零碎的性能或数据。有时,未修复的破绽可能会导致整个零碎受到攻打和毁坏。
未应用的页面和不必要的服务 / 性能
未应用的页面和不必要的性能或服务还容许攻击者未经受权拜访企业应用程序或设施。如果任其发展,这些问题可能会导致重大的问题,例如命令注入和暴力攻打等。
访问控制有余
歹意攻击者能够应用默认明码、未应用的用户帐户或管理员未更新或删除的未应用拜访权限来进入网络基础设施。过于宽松的拜访规定具备极大的安全隐患,包含恶意软件攻打和数据泄露。
未受爱护的文件和目录
不受弱小安全控制爱护的文件和目录容易受到网络攻击。攻击者能够辨认应用易于猜想的名称和地位的平台和应用程序,以获取有价值的零碎信息并策动有针对性的攻打。可预测的文件名和地位还能够裸露治理界面,并容许对手取得特权拜访、配置详细信息或业务逻辑,甚至增加、删除或批改应用程序性能。
单薄的代码和易受攻击的 XML 文件
Java web.xml 文件中可能会呈现许多平安配置谬误。可能未配置自定义谬误页面或 SSL,或者代码可能短少基于 Web 的访问控制。代码谬误可能容许攻击者通过非 SSL 拜访局部 Web 应用程序并发动会话劫持攻打。应用 URL 参数进行会话跟踪或不设置会话超时也可能导致这些攻打。同样,没有 HttpOnly 标记的 cookie 会减少跨站点脚本 (XSS) 攻打的可能性。
禁用杀毒软件
有时,如果杀毒软件笼罩了特定操作(例如运行安装程序),用户会临时禁用防病毒软件。如果在实现装置后遗记从新激活防病毒软件,就会使企业容易受到攻打和数据泄露。
硬件治理有余
攻击者应用路由器、交换机和端点等设施,通过利用不平安的端口、过于宽松的网络流量规定以及未充沛修补和保护的硬件来拜访企业应用程序和数据。
平安配置谬误的影响
配置谬误会造成安全漏洞,给歹意攻击者可趁之机。这里咱们列举出了几类平安配置谬误的影响。
敏感数据裸露
配置谬误简直总是会导致对敏感信息的未受权拜访。据统计有近 73% 的企业至多有一个重大的平安谬误配置,可能会裸露敏感数据、零碎或服务。
目录遍历攻打
Web 应用程序中的目录列表容许威逼行为者浏览和自在拜访文件构造并发现其安全漏洞。他们能够利用这些破绽批改应用程序的某些局部,甚至对其进行逆向工程。
对挪动应用程序的攻打
依据 OWASP,配置谬误对于挪动应用程序来说是个重大的问题,因为业务没有部署在企业管制下的专有服务器上。代码被部署在挪动设施上,而攻击者能够物理拜访、批改或进行逆向工程。
近程攻打
一些重大的谬误配置容许攻击者近程拜访服务器并禁用网络和信息安全管制,例如防火墙和 VPN。未应用的凋谢治理端口还会将应用程序裸露给近程攻打。
云配置谬误
云配置谬误一直减少,给企业带来泛滥平安挑战。云端多达 70% 的平安问题是因为配置谬误造成的,从而导致未经受权的应用程序拜访。同时还可能导致要害工作信息的泄露、业务损失、监管罚款和其余处罚,以及微小的财务和名誉侵害。
企业如何防止平安配置谬误
平安配置谬误是一个普遍存在的问题,可能产生在任何网络、零碎、设施或应用程序中。咱们倡议企业通过遵循以下最佳实际来躲避或将产生的可能性降到最低。
器重正告提醒
配置谬误通常会产生管理员和开发人员应留神的正告提醒和信号。包含屡次登录尝试的告诉、自行装置软件的设施以及用户的网络搜寻被重定向到意想不到的网站。
定期修补所有设施和软件
定期的安全补丁和更新对于查找和修复配置谬误至关重要。管理员能够定期修补正确配置的虚拟机,并将其部署到整个环境中。
增强近程访问控制
具备入侵检测零碎、权限区域、防火墙和虚构专用网络 (VPN) 的分层近程平安办法能够限度近程用户造成的破绽。一般来说,本地数据中心和云环境中的所有文件和目录都必须依据须要具备弱小的访问控制。
网络安全培训
不足网络安全常识会导致不平安的行为和人为谬误,从而减少平安危险。员工须要承受无关高强度明码的必要性、影子 IT 的危险以及解决敏感数据规定的培训。弱小的平安文化对于进步对平安威逼、可疑流动和适当的威逼响应的意识也至关重要。
遵循平安编码实际
平安编码实际对于避免谬误配置问题至关重要。开发人员必须确保在代码中进行正确的输出 / 输入数据验证,配置自定义谬误页面和 SSL,设置会话超时,绝不绕过身份验证和受权,并防止应用 URL 参数进行会话跟踪。在将自定义动态代码集成到生产环境之前,通过平安扫描器运行自定义动态代码也是一种很好的做法。
其余形式
防止平安配置谬误的其余一些办法还有:
- 定期监控 Web 应用程序平安和破绽
- 定义和监控应用程序和程序的非默认平安设置
- 删除未应用的应用程序、程序和性能
- 更改所有默认帐户、用户名和明码
- 加密静态数据和传输中数据
参考链接:
https://logicbomb.medium.com/…
https://www.threatstack.com/b…
https://www.trendmicro.com/en…