Errori di configurazione della sicurezza e conseguenze per la sicurezza web
09/10/20 Coretech Blog
Il termine configurazione errata della sicurezza è molto generico e si applica a qualsiasi problema di sicurezza che non sia il risultato di un errore di programmazione ma il risultato di un errore di configurazione. Gli errori di configurazione della sicurezza sono stati definiti come una categoria separata nell'elenco OWASP Top-10 2017 (categoria A6-2017 ). Come afferma la definizione, possono verificarsi a qualsiasi livello di uno stack di applicazioni, inclusi servizi di rete, piattaforma, server Web, server applicazioni, database, framework, codice personalizzato e macchine virtuali, contenitori o storage preinstallati .
Diamo uno sguardo alle configurazioni errate di sicurezza più comuni a cui prestare attenzione per mantenere la sicurezza delle applicazioni web.
Permessi Lax e mancanza di indurimento
Una delle cause più comuni di errori di configurazione della sicurezza è semplicemente non essere sufficientemente rigidi con le autorizzazioni utente e le impostazioni di sicurezza dell'account, soprattutto nel caso di ambienti di produzione. Ad esempio, un errore comune è abilitare un account utente che esegue un servizio per eseguire le shell. In tal caso, e se l'aggressore in qualche modo ottiene l'accesso a questo account utente, è in grado di eseguire comandi nel sistema operativo. Un altro errore comune è l'utilizzo di account condivisi per diversi servizi, ad esempio eseguire il server Web e il server database dallo stesso account.
Per garantire la sicurezza, tutti i servizi su un server di produzione dovrebbero essere eseguiti utilizzando account separati e questi account dovrebbero avere autorizzazioni minime, solo quelle effettivamente necessarie per il servizio. Tale separazione sicura dei privilegi rende quasi impossibile per gli aggressori eseguire l' escalation dei privilegi.
Impostazioni predefinite e password predefinite
Un'altra causa molto comune di errori di configurazione della sicurezza è la fiducia nelle impostazioni predefinite. Non si può presumere che il software professionale sia protetto per impostazione predefinita. Ogni software installato, incluso il server Web, il server delle applicazioni e il server del database, richiede una configurazione di sicurezza manuale.
Tale software di solito viene fornito con tutte le funzionalità attivate, supponendo che l'utente possa trarne vantaggio. Si tratta di una configurazione non sicura perché qualsiasi funzionalità aggiuntiva rappresenta un potenziale punto di ingresso aggiuntivo per un utente malintenzionato. Pertanto, la prima cosa da fare quando si installa un nuovo software è modificare le impostazioni predefinite e disattivare tutti i servizi non necessari, le funzionalità non necessarie, ecc.
Un altro problema che molte aziende devono affrontare è l'uso di account predefiniti e password predefinite. Ad esempio, questo vale per qualsiasi console di amministrazione, router, dispositivi IoT e altro ancora. Per evitare accessi non autorizzati, dovresti cambiare ogni password predefinita e dovresti sapere come creare password sicure . Le configurazioni errate del controllo degli accessi sono una delle cause principali di gravi violazioni della sicurezza.
Esposizione di informazioni
Se un utente malintenzionato scopre che tipo di software stai utilizzando nel tuo back-end, ad esempio il tipo e il numero di versione del tuo server di database, avrà molto più tempo per cercare di trovare le vulnerabilità correlate. Ecco perché è molto importante non esporre mai tali informazioni all'aggressore.
Un sistema ben configurato dovrebbe avere la gestione degli errori configurata per eliminare tutti i messaggi di errore che potrebbero fornire suggerimenti agli aggressori. È inoltre necessario eliminare tutti i banner informativi e qualsiasi altra informazione sensibile diretta o indiretta che possa aiutare l'autore dell'attacco a rilevare la configurazione.
Un altro esempio di esposizione eccessiva è consentire l' elenco delle directory . Se l'autore dell'attacco può elencare il contenuto delle directory sul server Web, è in grado di accedere potenzialmente a molti file non protetti e questi file potrebbero contenere dati sensibili. L'elenco delle directory è considerato un grave difetto di controllo degli accessi.
Software scaduto
La sicurezza delle applicazioni Web è diversa dalla sicurezza della rete, ma le due sono strettamente correlate. Ad esempio, un errore nel software del server web è considerato un problema di sicurezza della rete. Tali errori compaiono spesso e alcuni di essi possono essere gravi. Ecco perché tutto il software deve essere monitorato e aggiornato con le patch di sicurezza più recenti. Un ottimo esempio di bug di sicurezza di rete che influisce sulla sicurezza delle applicazioni web e che ancora infesta molti sistemi è il bug Heartbleed .
Pertanto, per mantenere la sicurezza delle applicazioni Web, è molto importante controllare regolarmente la presenza di patch mancanti, soprattutto nel caso di software rivolto al pubblico come il server Web.
Scansione di sicurezza in soccorso
Come evitare errori di configurazione della sicurezza elencati sopra e altro?
Il metodo più efficiente consiste nell'eseguire regolarmente scansioni, che espongono problemi di sicurezza. Tali scansioni dovrebbero includere sistemi di produzione e sistemi di gestione temporanea: la configurazione della produzione è spesso basata sulla configurazione di gestione temporanea.
Il modo migliore per testare la sicurezza è utilizzare uno scanner professionale che scopre non solo le configurazioni errate della sicurezza di rete (come fa la maggior parte degli scanner), ma si concentra sulla sicurezza delle applicazioni web.
Articoli su CoreTech
CoreTech, distributore ufficiale TuxCare per la regione EMEAWeb Design Sostenibile: cos’è e perché dovresti considerarloSostenibilità Digitale: cos’è e perché è così importante?Sostenibilità digitale: perché è importante per le aziendeKarma Metrix: misura, migliora e comunica l’impatto ambientale di un sito webIl web inquinaUn programma a premi per trovare falle nella securityL’Intelligenza Artificiale in pratica – Parte IL’Intelligenza Artificiale in pratica – Parte IILa resa dei conti del WEL! Si decide tutto a Le Mans.Vicini all’impresa: secondo posto alla 24h del Nurburgring-Nordschleife 2023TRASFORMARSI DA "AZIENDA CHE NOLEGGIA MULTIFUNZIONI" IN PARTNER TECNOLOGICOCoreTech, il punto di riferimento N-Able per gli MSP7° tappa del Winery Tour8° e conclusiva tappa del Winery Tour5° tappa del Winery Tour6° tappa del Winery TourAdobe Creative Cloud, Acrobat e Sign4° tappa del Winery Tour3° Tappa del Winery Tour2° Tappa del Winery TourNurburgring-Nordschleife 24oreNuovo Data Center per 1StackSiamo in finale all'Italian Channel Awards come Miglior Team di Supporto al Canale!CoreTech partecipa agli Italian Channel Awards come Miglior Team di Supporto al CanaleScopri il team CoreTech Racing oN3Nasce Cloud Academy by CoreTechMoto E - 3 giorni di test di preparazioneMoto ESereno NataleSulla piattaforma CSP CoreTech il servizio alla PA è vincentePer Natale regalati la formazione!La nuova formazione CoreTech per rinnovare il canaleCoreTech certificato AGID CSP per la PADa oggi puoi offrire la tua soluzione alla PA con CoreTechPillole di Sicurezza | Episodio 19Pillole di Marketing | E19 - 1 di 7Pillole di Sicurezza | Episodio 18Pillole di Marketing | E18Cloud provider: ambiente virtualizzato per affari concretiTalk sulle Nuove opportunità per investimenti digitali e per investimenti sull'exportCoreTech: la qualità dei servizi è certificataNon aspettare di essere schiacciato, gioca d'anticipo!Errori di configurazione della sicurezza e conseguenze per la sicurezza webPillole MSP da Richard Tubb | 1 di 19Curioso di scoprire quali soluzioni metteremo a tua disposizione gratuitamente?Virtual Cloud Provider: ecco la strategia contro la disintermediazioneHai a cuore la sicurezza dei tuoi server?Pillole di Marketing | E15Pillole di Marketing | Episodio 14Cloud di qualità certificato ISOCosa ti lasciano i Big Player?Pillole di Cloud | Episodio 12Pillole di Sicurezza | Episodio 14Dicono che il Cloud costa troppo? Con CoreTech è gratis!Pillole di Marketing | Episodio 13Pillole di Cloud | Episodio 11Imposta basi solide per il tuo businessPillole di Sicurezza | Episodio 13Pillole di Sicurezza | Episodio 12Pillole di Marketing | Episodio 11Pillole di Marketing | Episodio 10Pillole di Sicurezza | Episodio 11Pillole di Marketing | Episodio 9CoreTech sponsor al RomHack 2020Pillole di Marketing | Episodio 8Il Cloud White Label scende in pista con la MotoE: CoreTech per Gresini RacingPillole di Sicurezza | Episodio 10CoreTech sponsor tecnico ufficiale di Gresini Racing per il campionato di MotoEPillole di Marketing | Episodio 7Pillole di Sicurezza | Episodio 9CoreTech si è certificato per garantirvi servizi e prodotti sicuri e di qualità!CoreTech scende in Pista ... GUARDANDO AL FUTURO!Pillole di Sicurezza | Episodio 8Pillole di Marketing | Episodio 6Pillole di Sicurezza | Episodio 7Pillole di Sicurezza | Episodio 6Pillole di Marketing | Episodio 4Pillole di Marketing | Episodio 5Pillole di Sicurezza | Episodio 5Entra anche tu a far parte della prima Community che parla di Cloud in ItaliaPillole di Marketing | Episodio 3Pillole di Sicurezza | Episodio 4Pillole di Sicurezza | Episodio 3Diventa un Cloud Provider Grazie al White LabelGiovedì 7 Maggio, ore 16.00 | VIDEO CONFERENZA APERTA A TUTTIPillole di Sicurezza | Episodio 2I consigli di Richard Tubb | Emergenza CovidPillole di Marketing | Episodio 2L’effetto WOWvCP - Diventare Virtual Cloud Provider grazie al White Label di CoreTechScadenze di Aprile e possibili crisi di liquidità. Cosa può fare CoreTech per i PartnerPillole di Marketing | Episodio 1Link e informazioni relative a Video Call del 24 MarzoAppello ore 18.30 del 24 Marzo. Facciamo il PUNTO e AIUTIAMOCI tra NOIAppello ore 18.30. Aiutiamo i nostri clienti. Video Chiamata aperta a tuttiCoreTech White Label!Patrick Vaccalluzzo, marketing & sales, CoreTechNuovo menu sul sito CoreTechSopravvivere al cloud, la rivoluzione per i partner vista da CoreTechRisveglio dal torpore in cerca del cambiamento: la trappola della Confort Zone!14 Workshop GRATUITI con CoreTechMSP - Che differenza c’è tra lavorare SUL Business o NEL Business?Come sono diventato Sistemista....Per vincere...News dallo ShopNews dallo Shop – CoreTech Live Support#1 CoreTech Chat – La tua opinione conta!Italia Paese di innovazioneTi fanno pagare tutto, anche l'aria che respiri… e poi si fanno chiamare Partner!È ufficiale, Micro Focus sarà Partner del Summit 2018Online la pagina che raccoglie tutte le registrazioni dei webinar disponibiliNews Shop CoreTechAttenzione ai falsi operatori Microsoft, due persone già truffatePromozioni del meseNews dello Shop CoreTechCoreTech entra a far parte di CompTIA, la Community dedicata all’ITSHOP CORETECH SCOPRI LE NUOVE FUNZIONALITÀPorta un amico!CoreTech, distributore GFI-Kerio per l’ItaliaComunicazione di servizio: numero di telefonoCorsi Febbraio 2016!Promozione Festival ICTStartUp e MigrazioniWorkshop 2015Iscrizione Webinar - nuova proceduraI corsi sono indispensabili per “afferrare” alcuni concettiSMAU Milano 2015 - Richiedi il tuo invito elettronico!Aperte le iscrizioni al festival ICT 2015CoreTech Partern Gold dell'evento internazionale riconosciuto da Joomla!.orgCoreTech, da oggi nasce il primo New Generation ProviderNovità da CoreTech