#od0dopentestera Nawet…

#od0dopentestera Nawet najlepiej napisany kod uruchomiony na niepoprawnie skonfigurowanym serwerze może prowadzić do luk w bezpieczeństwie.
Miskonfiguracja to 6 kategoria OWASP Top 10, czyli listy dziesięciu najpopularniejszych podatności spotykanych na stronach internetowych.

Ten punkt jest nieco podobny do kategorii dziewiątej czyli używania komponentów ze znanymi podatnościami.
Tam jednak nie mamy większego wpływu na pojawienie się luki w kodzie – wszak są to biblioteki napisane przez obce osoby.
Tutaj natomiast to nasze działania doprowadzają do błędów.

Chociażby skopiowanie katalogu .git na serwer produkcyjny.
Jeżeli atakujący go odnajdzie, może przy jego pomocy pobrać kod źródłowy naszej aplikacji.

Czy nasze bazy danych wymagają logowania?
A może aplikacja w przypadku braku połączenia zwraca kod błędu razem z hasłem?
Z jakimi uprawnieniami są one uruchomione?
Zbyt wysokie mogą doprowadzić do ataków privilege escalation chociażby poprzez użycie składni INTO OUTFILE.

Warto wyłączyć komponenty, które nie są potrzebne – server-status w przypadku Apache albo przykładowe aplikacje w Tomcat.
W przypadku Dockera należy unikać tak zwanych Privileged containers a także udostępniania kluczowych katalogów hosta.

Na koniec: czy pamiętamy o nagłówkach bezpieczeństwa chroniących chociażby przed atakami Clickjacking?

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k