Pentest və SOC Cheat Sheet
  • Reconnaissance
  • Post-Explotation
    • Linux Post-Explotation
      • Linux Local Enumeration
      • Linux Privilege Escalation
      • Dumping and cracking hashes on Linux
      • Linux Persistence
    • Windows Post-Explotation
      • Windows Local Enumeration
      • Windows Privilege Escalation
      • Windows Persistence
  • Network Services Pentesting
    • 21-Pentesting FTP
    • 22-Pentesting SSH
    • 23-Pentesting Telnet
    • 53-Pentesting DNS
    • 25,465,587-Pentesting SMTP
    • 110,995-Pentesting POP
    • 139,445-Pentesting SMB
    • 3306-Pentesting MySQL
    • 3389-Pentesting RDP
    • 1433-Pentesting MSSQL-Microsoft SQL Server
    • 389,636,3268,3269-Pentesting LDAP
  • Web Pentesting
    • Broken Access Control
      • Praktiki nümunə
    • OS Command Injection
      • Praktiki nümunə
    • SQL Injection
      • Praktiki nümunə
    • Cross-Site-Scripting (XSS)
      • Praktiki nümunə
    • File Upload
      • Praktiki nümunə
    • Directory Traversal və Path Traversal
      • Praktiki nümunə
    • CSRF
    • XXE
    • Clickjacking
      • Praktiki nümunə
    • SSRF
      • Praktiki nümunə
    • JWT (Json Web Token)
      • Praktiki nümunə
    • Local&Remote File İnclusion
      • Praktiki nümunə
      • Local File inclusion ilə reverse shell almaq
    • 401&403 Bypass
    • Login Bypass
    • Open Redirect
    • Unicode Injection
    • Security Misconfiguration
    • CRLF injection
    • LDAP Injection
    • Cookies Hacking
    • Cross site WebSocket hijacking (CSWSH)
    • SSTI (Server Side Template Injection)
    • CSTI (Client Side Template Injection)
    • XSLT Server Side Injection (Extensible Stylesheet Languaje Transformations)
    • Registration & Takeover Vulnerabilities
    • Regular expression Denial of Service - ReDoS
    • Reset/Forgotten Password Bypass
    • SAML Hücumları
    • Reverse Tab Nabbing
    • Web Tool - WFuzz
    • XPATH enjeksiyonu
    • Server-Side Includes (SSI) Injection
    • Edge Side Inclusion Injection (ESII)
    • Race Condition
    • PostMessage
    • Parameter Pollution
    • Cache Poisoning and Cache Deception
    • Captcha Bypass
  • AD Pentesting
    • Domain Enumeration
      • PowerView ilə enumeration
      • AD Module ilə enumeration
      • BloodHound ilə enumeration
        • On Site BloodHound
      • Using Adalanche
        • Remote adalanche
      • Useful Enumeration Tools
    • Local Privilege Escalation
      • Useful Local Priv Esc Tools
      • UAC Bypass
    • Lateral Movement
      • Powershell Remoting
      • Mimikatz
      • Remote Desktop Protocol
      • URL File Attacks
      • Useful Tools
    • Domain Privilege Escalation
      • Kerberoast
      • ASREPRoast
      • Password Spray Attack
      • Force Set SPN
      • Abusing Shadow Copies
      • List and Decrypt Stored Credentials using Mimikatz
      • Unconstrained Delegation
      • Constrained Delegation
      • Resource Based Constrained Delegation
      • DNSAdmins Abuse
      • Abusing Active Directory-Integraded DNS (ADIDNS) poisoning
      • Abusing Backup Operators Group
      • SID History Abuse
      • Active Directory Certificate Services
    • Domain Persistence
      • Golden Ticket Attack
      • Silver Ticket Attack
      • Skeleton Key Attack
      • DSRM Abuse
      • DCsync Attack
    • Cross Forest Attacks
      • Trust Tickets
      • Abuse MSSQL Servers
      • Breaking Forest Trusts
  • SOC - Cheat Sheet
    • SOC Nədir?
    • SOC Komponentləri Nələrdir?
    • SOC Checklist
    • SIEM
      • Splunk Qurulması və Konfiqurasiyası
    • IDS/IPS
    • Firewall
    • Firewall qurulması və konfiqurasiyası
    • EDR/XDR
    • SOAR
    • Windows Commands for SOC analysts
      • GUI Programs in Windows
      • Event Viewer
      • Task Scheduler
      • Group Policy Editor
      • Device Manager
      • Task Manager
      • Registry Manager
    • Linux Commands for SOC analysts
    • LOLBAS Apps and Commands
      • Apps and Commands
Powered by GitBook
On this page
  • Security Misconfiguration nədir?
  • OWASP Security Misconfiguration Nədir(A05:2021)?
  • 6 Security Misconfiguration Növü
  • 8 Security Misconfiguration Nümunəsi
  • Security Misconfiguration Qarşısını Necə Almaq Olar?
  • Security Misconfiguration Hücumlarının Təsiri

Was this helpful?

  1. Web Pentesting

Security Misconfiguration

PreviousUnicode InjectionNextCRLF injection

Last updated 1 year ago

Was this helpful?

Təhlükəsizliyin yanlış konfiqurasiyası proqramın, vebsaytın və ya serverin konfiqurasiyası zamanı yaranan təhlükəsizlik zəifliyidir.

Hesablama sistemləri və tətbiqləri tez-tez onları potensial olaraq kiber cinayətkarlara məruz qoya bilən təhlükəsizlik səhv konfiqurasiyaları ilə qarşılaşır. Şirkətlərin 73%-dən çoxu ən azı bir kritik təhlükəsizlik yanlış konfiqurasiyası ilə qarşılaşır. Açıq Veb Tətbiqinin Təhlükəsizliyi Layihəsi (OWASP) 2021-ci ildə ən yaxşı 10 zəifliyin məşhur siyahısını yenilədi və təhlükəsizlik səhv konfiqurasiyası 5-ci ən təhlükəli risk olaraq sıralandı.

Security Misconfiguration nədir?

Təhlükəsizliyin yanlış konfiqurasiyası, təhlükəsizlik seçimlərinin təhlükəsizliyi maksimum dərəcədə artıracaq şəkildə müəyyən edilməməsi və ya xidmətlərin etibarlı olmayan defolt parametrlərlə yerləşdirilməsidir. Bu, istənilən hesablama sistemində, proqram təminatında, həmçinin bulud və şəbəkə infrastrukturunda baş verə bilər. Təhlükəsizlik səhv konfiqurasiyası kiberhücumların və uğurlu məlumat pozuntularının ümumi səbəbidir.

Çərçivələr proqramlaşdırmanı asanlaşdıraraq, tətbiqin qurulmasına sərf olunan vaxtı və səyi azaldıb. Bununla belə, bu çərçivələrin mürəkkəb konfiqurasiyaları var və bu, təhlükəsizliyin yanlış konfiqurasiyası riskini artırır. Eynilə, açıq mənbə kodu geniş şəkildə istifadə olunur və təhlükəsizliyi pozan və tətbiqi etibarsız edən standart konfiqurasiyalarla gələ bilər.

Təhlükəsizliyin yanlış konfiqurasiyası asanlıqla hədəflənən zəiflikdir. Səhv konfiqurasiya edilmiş veb serverləri və proqramları aşkar etmək adətən asandır və hakerlər aşkar etdikləri zəifliklərdən istifadə edərək əhəmiyyətli zərər verə bilər.

Bu səhv konfiqurasiya riski bütün proqram yığını üçün təhlükə yarada bilər – şəbəkə xidmətləri, platforma, veb server, proqram serveri, verilənlər bazası, çərçivələr, xüsusi kod və əvvəlcədən quraşdırılmış virtual maşınlar, konteynerlər və ya yaddaş.

OWASP Security Misconfiguration Nədir(A05:2021)?

2021-ci ildə yenilənmiş Top 10 Veb Tətbiqi Zəifliklərinin OWASP siyahısı təhlükəsizlik səhv konfiqurasiyasını 5-ci ən kritik olaraq elan etdi. Tədqiqata əsasən, tətbiqlərin 90%-dən çoxu yanlış konfiqurasiya, orta insident nisbəti 4% təşkil edir. Kiber hücumçular arasında populyarlıq qazanmasının səbəblərindən biri odur ki, o, təkcə veb aktivlərə deyil, konfiqurasiya tələb edən hər bir komponentə təsir edir.

OWASP-a görə, proqramlar kifayət qədər sərtləşməyə malik olmadıqda və ya düzgün konfiqurasiya olunmayan bulud xidməti icazələrinə malik olduqda təhlükəsizlik səhv konfiqurasiyasına həssasdır. Əlavə narahatlıqlara lazımsız funksiyalar, standart parametrlər və parollar, görünən xətaların idarə edilməsi məlumatı və yanlış konfiqurasiya edilmiş və ya söndürülmüş təhlükəsizlik xüsusiyyətləri daxildir.

Tətbiq çərçivələrinin və serverlərin təhlükəsiz parametrlərə malik olmasını və bütün proqram komponentlərinin yeni olmasını təmin etmək vacibdir. Serverlər müştərilərə təhlükəsizlik direktivləri və ya başlıqlar göndərməlidir. OWASP təhlükəsizliyin yanlış konfiqurasiyası ilə bağlı problemlərdən qaçmaq üçün tövsiyələr təklif edir - bunlara təkrarlanan, avtomatlaşdırılmış təhlükəsizliyin sərtləşdirilməsi proseslərinin həyata keçirilməsi, tətbiq arxitekturasının seqmentləşdirilməsi və platformanın minimal saxlanması daxildir.

6 Security Misconfiguration Növü

Bir neçə səbəbə görə təhlükəsizlik səhv konfiqurasiyasının qurbanı ola bilərsiniz. Bir veb proqramın hazırlanmasında bir çox tərəfin iştirakı ilə təhlükəsizlik çərçivəsinin düzgün tətbiqi çatlardan keçə bilər. Təlimsiz heyət, anlayışın olmaması və yamaqları nəzərdən keçirməmək bəzi səbəblərdir. Baş verən ən ümumi təhlükəsizlik yanlış konfiqurasiyaları aşağıda verilmişdir:

1. Yamaqsız sistemlər

Təcavüzkarlar zərərli proqramı icra etmək üçün yamaqlanmamış səhvdən istifadə edə bilərlər. Kibercinayətkarlar adətən bu boşluqdan hər hansı bir yamaqsız sistemlər üçün mühitləri skan etmək üçün istifadə edirlər və tətbiqlərə qeyri-qanuni daxil olmaq üçün eyni vasitələrdən istifadə edirlər.

2. Defolt hesab parametrləri

Sistemlər arasında girişi asanlaşdırmaq üçün bir neçə etibar konfiqurasiyası qura bilərsiniz. Bununla belə, bu, tətbiqinizi şəbəkənizdə həyati əhəmiyyətli məlumatları pozan hücumlara və pozuntulara açır.

3. Şifrələnməmiş fayllar

Şifrələnməmiş və ya zəif şifrələnmiş fayllar hakerlərə sisteminizə qeyri-qanuni daxil olmaq, məlumatları oğurlamaq və ya yanlış məlumatlarla dəyişdirmək üçün geniş imkanlar verir.

4. Təminatsız qurğular

Təhlükəli cihazlardan və ya etimadnamələrdən istifadə etmək və ya fərqli sistemlər üçün eyni parolları təkrar istifadə etmək mühitinizi etibarsız edə bilər. Təcavüzkarlar sistemlərinizdən birinə icazəsiz giriş əldə edə bilsələr belə, bütün şəbəkə istismar edilə bilər.

5. Veb tətbiqi və buludun yanlış konfiqurasiyası

Kiber Hücumçular sisteminizdə yanlış konfiqurasiya zəifliklərini aşkar edə və eyni şəkildə istifadə edərək birbaşa və ya dolayı yolla ciddi zərər verə bilər.

6. Firewallun qeyri-kafi müdafiəsi

Firewallda işləyən xidmətləri tərk etsəniz, bu, təcavüzkarların zəifliklərdən istifadə etməsi və sisteminizi pozması üçün bir pəncərə aça bilər.

8 Security Misconfiguration Nümunəsi

Digər appsec risklərindən fərqli olaraq, təhlükəsizlik səhv konfiqurasiyası “şluz riski” təqdim edir. Bu o deməkdir ki, təcavüzkar proqramınızı istismar etmək üçün istifadə edə biləcəyi məlumat əldə edir. Bu cür zəifliyi daha yaxşı başa düşmək üçün nümunələr.

1. Tətbiqlərin Nümunə Zəifliyi

Tətbiq serveri ilə birlikdə gələn nümunə proqramları silməkdən ötrü və ya qaçırdığınız zaman eyni şeyi istehsal serverinə daxil edirsiniz. Belə hallarda siz hakerlərə fürsət verirsiniz, çünki nümunə tətbiqlərdə istifadə oluna bilən məlum təhlükəsizlik boşluqları var.

Defolt hesabları deaktiv edə bilməsəniz, haker standart parollar vasitəsilə serverə asanlıqla daxil ola bilər.

2. Kataloq siyahısında zəiflik

Bu, serverdəki kataloq siyahısını deaktiv etmədiyiniz zaman baş verir. Bunu etməməklə, siz təcavüzkarlara qovluqlara daxil olmaq və sadəcə tərtib edilmiş java siniflərini yükləmək imkanı verirsiniz. Bunlardan istifadə edərək, hakerlər koda mühəndislik girişini tərsinə çevirə və proqramda nəzarət axını aşkarlaya bilərlər.

3. Xəta Mesajının Zəifliyi

İstifadəçilərə təfərrüatlı xəta mesajları yayan konfiqurasiya qurduğunuz zaman bu, tətbiqinizin təhlükəsizliyi üçün potensial təhlükəyə çevrilir. Serverin kritik məlumatları və laylı qüsurları xəta məlumatı vasitəsilə ictimaiyyətə məlum olacaq. Bu, sisteminizə asan bir yol açır.

4. Defolt İmtiyazlar Zəifliyi

Tez-tez bir bulud xidməti təminatçısından istifadə etdiyiniz zaman o, xidmət provayderinin digər istifadəçiləri üçün aktivləşdirilmiş standart paylaşma icazələri ilə gəlir. Təəssüf ki, bu o deməkdir ki, imtiyaz etimadnamələri kimi məxfi məlumatlar buludda saxlanılır və bir çox qeyri-qanuni yollarla əldə edilir.

5. Lazımsız Xüsusiyyətlərin Zəifliyi

Tez-tez istifadə edilməyən xidmətlər, komponentlər, hesablar, portlar və ya səhifələr kimi lazımsız xüsusiyyətləri aktivləşdirmək sisteminizi təcavüzkarlara qarşı həssas edir. Hakerlər zərərli proqramları təqdim etmək üçün kod yeridilməsi kimi üsullardan istifadə edə bilər. Bu kod icra edildikdə adminlərə hakerə giriş imkanı verə bilər.

6. Məlumatların Təsdiqlənməsi üzrə Zəiflik

Kodlaşdırma təcrübələrinə əməl edilməməsi təhlükəsizlik yanlış konfiqurasiya hücumlarının əsas səbəblərindən biridir. Belə səhvlərdən biri düzgün giriş/çıxış məlumatlarının yoxlanılmasının həyata keçirilməməsidir. Bu, serverinizi tətbiqinizə və təşkilatınıza ciddi ziyan vuran kiberhücumlara açır. Çatdırılma prosesinin hər birində hər bir komponenti skan edən Aqua kimi həll məlumatların yoxlanılması risklərini aşkar etmək üçün vacibdir.

7. Dərc olunmamış URL-lərin Zəifliyi

Ümumi bir nəzarət trafik qəbul etmək üçün nəzərdə tutulmayan URL-lərin saxlanmasıdır. Bununla belə, silinməsi və ya bloklanması lazım olan bu dərc edilməmiş URL-lər, bu məlumatları genişləndirə bilər. Hücumçular, aşkar edildikdə əhəmiyyətli risk yarada biləcək belə zəiflikləri aşkar etmək üçün daim axtarışdadırlar.

8. Köhnəlmiş Proqram təminatı zəifliyi

Proqram tətbiqi yerləşdirildikdən və işə salındıqdan sonra zəiflikləri aşkar etmək üçün müntəzəm skanları həyata keçirməyi unuda bilərsiniz. Çox vaxt satıcılar açıq mənbəli proqram təminatı üçün təkmilləşdirmələr buraxır, boşluqları və ya səhvləri düzəldirlər. Lakin tətbiqinizi mövcud təkmilləşdirmələrlə güncəlləyə bilməsəniz, təcavüzkarlar icazəsiz giriş əldə etmək üçün bu fürsətdən istifadə edə bilər. Aqua köhnə və təminatsız kodu axtaran kod anbarlarını skan edə bilir. Aqua bunu həm daxili kod depolarında, həm də GitHub kimi xarici kodlarda edə bilər.

Security Misconfiguration Qarşısını Necə Almaq Olar?

Təhlükəsizliyin yanlış konfiqurasiyası hücumunun qarşısının alınması çətin görünə bilər, çünki o, müxtəlif zəiflikləri ehtiva edir. Təcavüzkarlar məxfi fayllarınıza müdaxilə edərək veb tətbiqinizə hücum etmək üçün istənilən növ yanlış konfiqurasiyadan istifadə edə bilər. Bununla belə, bir neçə sadə təcrübə sisteminizi bu cür hücumlardan qoruya bilər. Gəlin təhlükəsizlik yanlış konfiqurasiyasına qarşı tətbiq etməli olduğunuz qabaqlayıcı tədbirlərə nəzər salaq.

Təkrarlanan Sərtləşdirmə Proseslərini qəbul edin

Bu, düzgün konfiqurasiya edilmiş veb proqramların və serverlərin yerləşdirilməsini asanlaşdırır. Siz həmçinin mühitlərdəki konfiqurasiyaların (inkişaf, istehsal və sınaq) sinxron, lakin fərqli icazələrə malik olmasını təmin etməlisiniz.

Təkrarlanan tapşırıqları avtomatlaşdırın

Avtomatlaşdırılmış proses təkrarlanan konfiqurasiya tapşırıqlarını insanlardan daha yaxşı yerinə yetirir. Beləliklə, konfiqurasiyanı təmizləmək və təhlükəsizlik parametrlərini yoxlamaq üçün inkişaf və istehsalda bacardığınız qədər çox işi avtomatlaşdırın. Aqua kimi bir həlldən istifadə etmək hər addımda təhlükəsizlik tapşırıqlarını avtomatlaşdırmağa kömək edəcək.

Proqram təminatını mütəmadi olaraq yeniləyin

Ən yaxşı təcrübə olaraq, xüsusən üçüncü tərəf kodundan istifadə edərkən proqram təminatınızı müntəzəm olaraq yeniləməlisiniz. Onlar tez-tez bu yaxınlarda aşkar edilmiş hər hansı zəiflik üçün yamaqlar və ya düzəlişləri ehtiva edir.

Tez-tez Auditlər aparın

Potensial təhlükəsizlik yanlış konfiqurasiyaları və tətbiq risklərini aşkar etmək və azaltmaq üçün dövri yoxlamadan istifadə edin. Burada yenə də Aqua sizə istənilən vaxt audit aparmaq üçün lazım olan bütün məlumatları verə bilər. Aqua hər bir addımı dəqiq izləyir və izləyir və başdan sona görünürlük təmin edir.

Seqmentləşdirilmiş Arxitektura qurun

Komponentlər və aktivlər arasında effektiv ayırma yaratmaq üçün təhlükəsiz və seqmentlərə bölünmüş möhkəm tətbiq arxitekturası qurmaq çox vacibdir. Konteynerləşdirmə və ya bulud təhlükəsizlik qruplarından (ACL) istifadə etmək üçün yaxşı bir strategiyadır.

İstifadə edilməmiş funksiyalardan çəkinin

Quraşdırma prosesinin bir hissəsi olaraq, istifadə olunmamış funksiyaları, sənədləri, komponentləri və nümunələri silməli və tətbiqi minimal platformaya çevirməlisiniz.

Təhlükəsizlik yanlış konfiqurasiya hücumlarının qarşısını almaq üçün digər ən yaxşı təcrübələr bunlardır:

  • Komandanız üçün təhlükəsizlik konfiqurasiyalarının vacibliyini və mütləq təhlükəsizliyə nail olmaq üçün ən yaxşı təcrübələri vurğulayın

  • Bulud saxlama icazələrini ləğv edin və proqram təminatında əvvəlcədən təyin edilmiş imtiyazları yoxlayın

  • Kataloqa baxışı aktiv etməkdən çəkinin və qeyri-vacib funksiyaları söndürün

  • Sazlama alətlərinin serverə daxil olmasına və ya daxili xətaları açıq şəkildə göstərməsinə icazə verməyin

  • Bütün paketlərinizi və kitabxanalarınızı yenilədiyinizə əmin olun

Security Misconfiguration Hücumlarının Təsiri

Təhlükəsizliyin yanlış konfiqurasiyaları təcavüzkarlara şəbəkələrə, sistemlərə və məlumatlara icazəsiz giriş əldə etməyə imkan verir ki, bu da öz növbəsində təşkilatınıza əhəmiyyətli pul və reputasiya ziyanına səbəb ola bilər.

Ən son Açıq Veb Tətbiq Təhlükəsizliyi Layihəsi (OWASP) Top 10 siyahısında təhlükəsizlik yanlış konfiqurasiya xətaları siyahıda altıncı sırada yer alır. Bu təəccüblü deyil, çünki yanlış təhlükəsizlik konfiqurasiyaları uzun illər ərzində ilk 10 siyahının ardıcıl üzvü olmuşdur.

Onlar həmçinin 2022-ci il Cybersecurity Insider Cloud Security hesabatında qeyd olunduğu kimi buludda ən mühüm etibarsızlıq mənbəyinə çevriliblər:

Bu il səhv konfiqurasiyalar (23%), keçən ildən istifadəçi tərəfindən açıqlanan məlumatları (15%) və hesabın pozulmasını (15%) üstələyərək, təhlükəsizliklə bağlı bir nömrəli insident kimi birinci yeri tutub.