Перейти к содержанию

Security Misconfiguration

Как следует из названия - уязвимости типа Security misconfiguration возникают вследствии некорректной конфигурации параметров влияющих на безопасность.

Так как для безопасности важно практически всё, уязвимости этого типа продолжают подниматся вверх с 6 места в OWAP 2017 на 5 место в OWASP 2021.

В качестве примеров можно привести следующие ошибки конфигурации:

  1. Стандартные пароли, которые должны изменятся при запуске приложения в production, но не поменялись
  2. Включены/открыты ненужные сервисы, порты, страницы, аккаунты и т.д.
  3. Пользователю отдаются стандартные сообщения об ошибках содержащие в себе конфиденциальную информацию
  4. Использование устаревшего, читай уязвимого, ПО.

... и далее в том же духе.

Способы противодействия

В двух словах - быть более внимательным к конфигурации приложений в продуктивной среде. Остальное на - owasp.org