1.定义
安全配置错误可以发生在一个应用程序堆栈的任何层面,包括网络服务,平台,web服务器、应用服务器、数据库、框架、自定义的代码、预安装的虚拟机、容器、存储等。
2.可能出现的风险点
A:应用程序启用或者安装了不必要的安全功能
B:默认账户名和密码没有修改
C:应用软件已过期或易受攻击
D:应用程序服务器,应用程序框架等未进行安全配置。
E:错误处理机制披露大量敏感信息
F:对于更新的系统,禁用或不安全地配置安全功能。
3.防范措施:
1.在所有环境中都能安全设置和配置的安装过程。
2.一个快速、易于部署、可重复的加固过程。
3.搭建最小化平台
4.检查和修复安全配置项。
4.发生的场景举例:
1.应用程序服务器附带了含有安全漏洞的系统组件。
2.目录列表在服务器端未被禁用。
3.应用服务器允许将详细的错误信息发送给用户。
4.云服务向其他csp用户提供默认的网络共享权限。
