Security Misconfiguration

Was ist Security Misconfiguration?

Security Misconfiguration (Sicherheitsfehlkonfiguration) ist ein h├Ąufig vorkommendes Sicherheitsproblem bei Webanwendungen. Es steht regelm├Ą├čig in der OWASP Top 10, einer Liste typischer Sicherheitsschwachstellen von Webanwendungen, die von der Non-Profit-Organisation Open Web Application Security Projects gepflegt wird.

Beschreibung

Wenn eine Softwarekomponente aufgrund einer unsicheren Konfiguration anf├Ąllig f├╝r Angriffe ist, ist von einer Security Misconfiguration die Rede. Dies kann einen Webserver, eine Datenbank oder sonstige Softwaremodule betreffen. Security Misconfiguration ist eine weit verbreitete Schwachstelle. Eine Webanwendung ist aus mehreren Ebenen aufgebaut, jede stellt eine potenzielle Schwachstelle f├╝r einen Konfigurationsfehler dar.
In vielen F├Ąllen ist dies eine der am einfachsten ausnutzbaren Schwachstellen. Wenn ein Systemadministrator beispielsweise vergisst, ein Default-Konto mit Administratorrechten zu l├Âschen, muss ein Angreifer lediglich die Default-Anmeldeinformationen googeln.

Auswirkungen

Die Auswirkungen h├Ąngen von der Art der Fehlkonfiguration ab. Im schlimmsten Fall k├Ânnte dies zu einer vollst├Ąndigen ├ťbernahme eines Servers f├╝hren, zu gestohlenen sensiblen Daten und kostspieliger Wiederbeschaffung.

Vermeidung

Um Security Misconfiguration zu erkennen, ist die Konfiguration nach verschiedenen Gesichtspunkten zu pr├╝fen:

  • Sind noch Default-Konten vorhanden und wenn ja, wurden die Passw├Ârter ge├Ąndert?
  • Wenn es m├Âglich ist, eine bessere Sicherheit in einem Framework durchzusetzen, werden diese Optionen ausgew├Ąhlt?
  • Sind nicht ben├Âtigte Funktionen installiert oder aktiviert, die deaktiviert werden k├Ânnen? Dazu geh├Âren Konten, unn├Âtige Berechtigungen, Ports usw.
  • Zeigen Fehlermeldungen den Benutzern interne Informationen an? Dies ist eines der h├Ąufigsten Probleme.
  • Es ist sicherzustellen, dass alles Komponenten aktualisiert sind und Softwareupdates und Patches routinem├Ą├čig installiert werden.
  • Es ist immer dieselbe Konfiguration f├╝r die Bereitstellungs-, Produktions- und Entwicklungsumgebungen zu nutzen.
  • Viele Fehlkonfigurationen sind das Ergebnis von Inkonsistenzen. Ein System ist immer in der Annahme einer Gef├Ąhrdung zu konfigurieren.
  • Im Falle einer Sicherheitsverletzung sollte ein Angreifer nur sehr wenig Schaden anrichten k├Ânnen.
  • Menschen sind gut darin, Fehler zu machen, weshalb automatisieren werden sollte, was automatisiert werden kann.
  • Wenn derselbe Installationsvorgang h├Ąufig durchgef├╝hrt wird, sollte er automatisiert werden.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte