OWASP Top 10 частина 5: Security Misconfiguration

Неправильна конфігурація безпеки – це помилки в налаштуваннях безпеки, які можуть залишити додаток або систему вразливими.

Використання застарілих або ненадійних налаштувань

• Опис: Залишення застарілих або ненадійних налаштувань безпеки.

• Приклад: Відкриті порти або сервіси, які не використовуються, але залишені в конфігурації.

Відсутність належної конфігурації сервера

• Опис: Неналежне налаштування серверів, яке може призвести до вразливостей.

• Приклад: Неправильні налаштування для серверів бази даних або веб-серверів, які дозволяють несанкціонований доступ.

Неправильне управління обліковими записами

• Опис: Відсутність належного управління обліковими записами та правами доступу.

• Приклад: Облікові записи з надмірними привілеями або з незахищеними паролями.

1. Використання середовища розробки/тестування на продуктивних системах

• Blue Team: Використовуйте окремі середовища для розробки, тестування та продуктивної системи. Забезпечте, що тестові середовища не мають доступу до продуктивних даних.

• Red Team: Спробуйте знайти URL, пов’язані з тестовими середовищами, або доступ до конфігураційних файлів, які можуть розкрити дані про продуктивне середовище.

2. Використання HTTP поза межами середовища розробки

• Blue Team: Вимкніть HTTP і вимагайте використання HTTPS з актуальними сертифікатами.

• Red Team: Перевірте можливість підміни трафіку (MITM) або ін’єкцій даних у випадках використання HTTP.

3. Неправильна конфігурація HTTPS

• Blue Team: Перевірте правильність налаштувань SSL/TLS, переконайтесь, що використовуються тільки надійні протоколи та шифри.

• Red Team: Перевірте наявність вразливостей SSL/TLS, таких як небезпечні шифри або підтримка застарілих протоколів.

4. Неправильна конфігурація SSH

• Blue Team: Забороніть доступ до SSH для root-користувача, вимкніть аутентифікацію за паролем на користь ключів SSH.

• Red Team: Спробуйте атакувати SSH-конфігурацію, зосередившись на виявленні rootдоступу або слабких паролів.

5. Неправильна конфігурація переліку директорій

• Blue Team: Забороніть доступ до переліку директорій через серверні налаштування (наприклад, через .htaccess або конфігурацію Nginx/Apache).

• Red Team: Перевірте можливість доступу до переліку директорій, шукайте конфіденційні файли або резервні копії.

6. Незахищені публічно відкриті порти

• Blue Team: Відкрийте тільки ті порти, які необхідні для роботи сервісів, закрийте порти баз даних (наприклад, 5432 для PostgreSQL).

• Red Team: Проведіть сканування портів для виявлення відкритих портів, які можуть бути використані для атак.

7. Використання стандартних логінів та паролів

• Blue Team: Змініть стандартні логіни та паролі відразу після встановлення системи, вимкніть застарілі облікові записи.

• Red Team: Використовуйте атаки типу “Brute Force” або списки стандартних паролів для входу.

8. Тестові акаунти на продуктивних системах

• Blue Team: Вимкніть або видаліть всі тестові акаунти перед розгортанням продуктивної системи.

• Red Team: Спробуйте виявити тестові акаунти через фузінг або атаки словникового типу.

9. Занадто інформативні помилки або стеки викликів на продуктивних системах

• Blue Team: Увімкніть користувацькі сторінки помилок, відключіть показ стека викликів у продуктивному середовищі.

• Red Team: Використовуйте інформацію з помилок для подальших атак, наприклад, шляхів до файлів або назви баз даних.

10. Вимкнені механізми безпеки для зручності

• Blue Team: Забезпечте, щоб всі механізми безпеки залишалися ввімкненими навіть під час розробки. Наприклад, вимагайте пароля для використання sudo.

• Red Team: Спробуйте скористатися тимчасовими налаштуваннями, які були залишені після тестування.