Security Misconfiguration

Was ist Security Misconfiguration?

Security Misconfiguration (Sicherheitsfehlkonfiguration) ist ein häufig vorkommendes Sicherheitsproblem bei Webanwendungen. Es steht regelmäßig in der OWASP Top 10, einer Liste typischer Sicherheitsschwachstellen von Webanwendungen, die von der Non-Profit-Organisation Open Web Application Security Projects gepflegt wird.

Beschreibung

Wenn eine Softwarekomponente aufgrund einer unsicheren Konfiguration anfällig für Angriffe ist, ist von einer Security Misconfiguration die Rede. Dies kann einen Webserver, eine Datenbank oder sonstige Softwaremodule betreffen. Security Misconfiguration ist eine weit verbreitete Schwachstelle. Eine Webanwendung ist aus mehreren Ebenen aufgebaut, jede stellt eine potenzielle Schwachstelle für einen Konfigurationsfehler dar.
In vielen Fällen ist dies eine der am einfachsten ausnutzbaren Schwachstellen. Wenn ein Systemadministrator beispielsweise vergisst, ein Default-Konto mit Administratorrechten zu löschen, muss ein Angreifer lediglich die Default-Anmeldeinformationen googeln.

Auswirkungen

Die Auswirkungen hängen von der Art der Fehlkonfiguration ab. Im schlimmsten Fall könnte dies zu einer vollständigen Übernahme eines Servers führen, zu gestohlenen sensiblen Daten und kostspieliger Wiederbeschaffung.

Vermeidung

Um Security Misconfiguration zu erkennen, ist die Konfiguration nach verschiedenen Gesichtspunkten zu prüfen:

  • Sind noch Default-Konten vorhanden und wenn ja, wurden die Passwörter geändert?
  • Wenn es möglich ist, eine bessere Sicherheit in einem Framework durchzusetzen, werden diese Optionen ausgewählt?
  • Sind nicht benötigte Funktionen installiert oder aktiviert, die deaktiviert werden können? Dazu gehören Konten, unnötige Berechtigungen, Ports usw.
  • Zeigen Fehlermeldungen den Benutzern interne Informationen an? Dies ist eines der häufigsten Probleme.
  • Es ist sicherzustellen, dass alles Komponenten aktualisiert sind und Softwareupdates und Patches routinemäßig installiert werden.
  • Es ist immer dieselbe Konfiguration für die Bereitstellungs-, Produktions- und Entwicklungsumgebungen zu nutzen.
  • Viele Fehlkonfigurationen sind das Ergebnis von Inkonsistenzen. Ein System ist immer in der Annahme einer Gefährdung zu konfigurieren.
  • Im Falle einer Sicherheitsverletzung sollte ein Angreifer nur sehr wenig Schaden anrichten können.
  • Menschen sind gut darin, Fehler zu machen, weshalb automatisieren werden sollte, was automatisiert werden kann.
  • Wenn derselbe Installationsvorgang häufig durchgeführt wird, sollte er automatisiert werden.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte