[Security testing cho gà mờ] A05: 2021 SECURITY MISCONFIGURATION

Cấu hình sai bảo mật là gì?

Theo OWASP: Cấu hình sai bảo mật là các biện pháp kiểm soát bảo mật được thiết lập không chính xác hoặc không an toàn, khiến hệ thống và dữ liệu của bạn gặp rủi ro. Về cơ bản, bất kỳ thay đổi cấu hình, cài đặt mặc định hoặc sự cố kỹ thuật trên bất kỳ thành phần nào trong endpoint của bạn đều có thể dẫn đến cấu hình sai.

COMMON SECURITY MISSCONFIGURATION

Ví dụ: Khi bị lỗi show trang lỗi chứa thông tin nhạy cảm

Thay vì vậy, nên hiển thị chung chung là

MỘT SỐ LỖI PHỔ BIẾN

Content Security Policy _(CSP) Header Not Set

X-Content-Type-Options Header Missing

Bonus:

• Trang web scan lỗi bảo mật header: https://securityheaders.com Ví dụ: Scan website https://testphp.vulnweb.com

• Một số lỗi bảo mật config header

• Công cụ để lấy tất cả các tên miền mà website tải tài nguyên về nếu triển khải bổ sung config header CSP: https://www.webpagetest.org/