[Security testing cho gà mờ] A05: 2021 SECURITY MISCONFIGURATION
Cấu hình sai bảo mật là gì?
Theo OWASP: Cấu hình sai bảo mật là các biện pháp kiểm soát bảo mật được thiết lập không chính xác hoặc không an toàn, khiến hệ thống và dữ liệu của bạn gặp rủi ro. Về cơ bản, bất kỳ thay đổi cấu hình, cài đặt mặc định hoặc sự cố kỹ thuật trên bất kỳ thành phần nào trong endpoint của bạn đều có thể dẫn đến cấu hình sai.
COMMON SECURITY MISSCONFIGURATION
Ví dụ: Khi bị lỗi show trang lỗi chứa thông tin nhạy cảm
Thay vì vậy, nên hiển thị chung chung là
MỘT SỐ LỖI PHỔ BIẾN
Content Security Policy _(CSP) Header Not Set
X-Content-Type-Options Header Missing
Bonus:
-
Trang web scan lỗi bảo mật header: https://securityheaders.com Ví dụ: Scan website https://testphp.vulnweb.com
-
Một số lỗi bảo mật config header
- Công cụ để lấy tất cả các tên miền mà website tải tài nguyên về nếu triển khải bổ sung config header CSP: https://www.webpagetest.org/
All rights reserved