Pagrindiniai web sistemų pažeidžiamumai Ir saugos būdai


6. Klaidinga konfigūracija

 

Klaidinga sistemos konfigūracija gali slėptis įvairiausiuose Web sistemos lygiuose. Neteisingai sukonfigūruotas, pažeidžiamas Web serveris kartais suteikia šansą pilnai užvaldyti sistemą. Kai kurios subtilesnės šio tipo spragos leidžia įsibrovėliui išgauti daug naudingos informacijos. Vengiant tokio tipo pažeidžiamumų, derėtų sistematiškai ištirti visų sistemos komponentų saugumą. Saugi architektūra užtikrina pakankamą sistemos komponentų izoliaciją bei apsaugą.
OWASP siūlo pradėti nuo šių klausimų[15]:

  1. Ar programinė įranga yra tinkamai atnaujinama? Programinė įranga apima operacinę sistemą, Web serverį, duomenų bazės sistemą, sisteminius servisus,
    karkasus bei naudojamas bibliotekas.
  2. Ar išjungti nenaudojami servisai, uždaryti nenaudojami prievadai, paskyros, puslapiai? Ar teisingai sukonfigūruotos privilegijos?
  3. Ar uždrausti numatytieji (ar svečių) vartotojų prisijungimai? Ar pakeisti numatytieji slaptažodžiai?
  4. Ar tinkamai sukonfigūruotas reagavimas į sistemines klaidas (neišduodama per daug informacijos)?
  5. Ar saugumo nustatymai Web aplikacijos aplinkoje, karkase bei bibliotekose yra teisingai suprantami ir nustatyti?