In order to prevent security misconfigurations:
A repeatable hardening process that makes it fast and easy to deploy another environment that is properly locked down. Development, QA, and production environments should all be configured identically, with different credentials used in each environment. Automate this process in order to minimize the effort required to set up a new secure environment.
A minimal platform without any unnecessary features, components, documentation, and samples. Remove or do not install unused features and frameworks.
A task to review and update the configurations appropriate to all security notes, updates, and patches as part of the patch management process. In particular, review cloud storage permissions.
A segmented application architecture that provides effective and secure separation between components or tenants, with segmentation, containerization, or cloud security groups.
Sending security directives to clients, e.g. Security Headers.
An automated process to verify the effectiveness of the configurations and settings in all environments.
Xavfsizlikning noto'g'ri konfiguratsiyasi Asosiysi, shafqatsiz kuch ko'plab mumkin bo'lgan kombinatsiyalarni sinab ko'rish harakatidir, ammo bu hujumning muvaffaqiyat darajasini oshirish uchun ko'plab variantlari mavjud. Bu erda eng keng tarqalgan: Yashirilmagan kamchiliklar Standart konfiguratsiyalar Ishlatilmagan sahifalar Himoyalanmagan fayllar va kataloglar Keraksiz xizmatlar Webmasterning eng keng tarqalgan kamchiliklaridan biri bu CMS standart konfiguratsiyasini saqlashdir. Bugungi CMS ilovalari (foydalanish oson bo'lsa ham) oxirgi foydalanuvchilar uchun xavfsizlik nuqtai nazaridan qiyin bo'lishi mumkin. Hozirgacha eng keng tarqalgan hujumlar butunlay avtomatlashtirilgan. Ushbu hujumlarning aksariyati foydalanuvchilarga faqat standart sozlamalarga tayanadi. Bu shuni anglatadiki, CMSni o'rnatishda standart sozlamalarni o'zgartirish orqali ko'p sonli hujumlarni yumshatish mumkin. Sharhlar, foydalanuvchilar va foydalanuvchi ma'lumotlarining ko'rinishini boshqarish uchun sozlashingiz mumkin bo'lgan sozlamalar mavjud. Fayl ruxsatnomalari qattiqlashtirilishi mumkin bo'lgan standart sozlamalarning yana bir misolidir. Xavfsizlik noto'g'ri konfiguratsiyasi qayerda sodir bo'lishi mumkin? Noto'g'ri konfiguratsiya ilovalar to'plamining har qanday darajasida sodir bo'lishi mumkin, jumladan: Tarmoq xizmatlari Platforma Veb-server Ilova serveri Ma'lumotlar bazasi Ramkalar Maxsus kod Oldindan o'rnatilgan virtual mashinalar Konteynerlar Saqlash Ilova noto'g'ri konfiguratsiyasining eng so'nggi misollaridan biri bu texnologiya sanoatida DDoS katta xizmatlar uchun ishlatiladigan memkeshli serverlardir. Xavfsizlik noto'g'ri konfiguratsiyasi hujumi stsenariylariga misollar OWASP ma'lumotlariga ko'ra, bular hujum stsenariylarining ba'zi misollari: Stsenariy №1: Ilova serveri ishlab chiqarish serveridan olib tashlanmaydigan namunaviy ilovalar bilan birga keladi. Ushbu namunaviy ilovalarda tajovuzkorlar serverni buzish uchun foydalanadigan ma'lum xavfsizlik kamchiliklari mavjud. Agar ushbu ilovalardan biri administrator konsoli bo'lsa va standart hisoblar o'zgartirilmagan bo'lsa, tajovuzkor standart parollar bilan tizimga kiradi va boshqaruvni oladi. Stsenariy №2: Katalog ro'yxati serverda o'chirilgan emas. Buzg'unchi oddiygina kataloglarni ro'yxatga olishi mumkinligini aniqlaydi. Ular kompilyatsiya qilingan Java sinflarini topadi va yuklab oladi, ular kodni ko'rish uchun dekompilyatsiya qiladi va teskari muhandislik qiladi. Keyin tajovuzkor dasturda kirishni boshqarishda jiddiy nuqson topadi. Stsenariy №3: Ilova serverining konfiguratsiyasi batafsil xato xabarlariga ruxsat beradi, masalan. stack izlari, foydalanuvchilarga qaytariladi. Bu potentsial nozik ma'lumotlarni yoki komponent versiyalari kabi asosiy kamchiliklarni ochib beradi. Ular zaif ekanligi ma'lum. Stsenariy №4: Bulutli xizmat ko'rsatuvchi provayder boshqa CSP foydalanuvchilari tomonidan Internetga ochiq standart almashish ruxsatlariga ega. Bu saqlangan maxfiy ma'lumotlarga bulutli xotirada kirish imkonini beradi. Qanday qilib xavfsiz o'rnatish tizimlariga ega bo'lish kerak Xavfsizlik noto'g'ri konfiguratsiyasini oldini olish uchun: To'g'ri qulflangan boshqa muhitni o'rnatishni tez va osonlashtiradigan takrorlanadigan qattiqlashuv jarayoni. Ishlab chiqish, QA va ishlab chiqarish muhitlari har bir muhitda turli hisobga olish ma'lumotlari bilan bir xil tarzda sozlanishi kerak. Yangi xavfsiz muhitni o'rnatish uchun zarur bo'lgan harakatlarni minimallashtirish uchun ushbu jarayonni avtomatlashtiring. Hech qanday keraksiz xususiyatlar, komponentlar, hujjatlar va namunalarsiz minimal platforma. Foydalanilmayotgan xususiyatlar va ramkalarni olib tashlang yoki o'rnatmang. Yamoqlarni boshqarish jarayonining bir qismi sifatida barcha xavfsizlik eslatmalari, yangilanishlari va yamoqlariga mos keladigan konfiguratsiyalarni ko'rib chiqish va yangilash vazifasi. Xususan, bulutli saqlash ruxsatlarini ko'rib chiqing. Segmentatsiya, konteynerlashtirish yoki bulut xavfsizligi guruhlari bilan komponentlar yoki ijarachilar o'rtasida samarali va xavfsiz ajratishni ta'minlaydigan segmentlangan dastur arxitekturasi. Mijozlarga xavfsizlik ko'rsatmalarini yuborish, masalan. Xavfsizlik sarlavhalari. Barcha muhitlarda konfiguratsiyalar va sozlamalarning samaradorligini tekshirish uchun avtomatlashtirilgan jarayon.
Cross Site Scripting (XSS) is a widespread vulnerability that affects many web applications. XSS attacks consist of injecting malicious client-side scripts into a website and using the website as a propagation method.
The risks behind XSS is that it allows an attacker to inject content into a website and modify how it is displayed, forcing a victim’s browser to execute the code provided by the attacker while loading the page.
Do'stlaringiz bilan baham: |