+2

[Security testing cho gà mờ] A05: 2021 SECURITY MISCONFIGURATION

Mayfest2023

Cấu hình sai bảo mật là gì?

Theo OWASP: Cấu hình sai bảo mật là các biện pháp kiểm soát bảo mật được thiết lập không chính xác hoặc không an toàn, khiến hệ thống và dữ liệu của bạn gặp rủi ro. Về cơ bản, bất kỳ thay đổi cấu hình, cài đặt mặc định hoặc sự cố kỹ thuật trên bất kỳ thành phần nào trong endpoint của bạn đều có thể dẫn đến cấu hình sai.

COMMON SECURITY MISSCONFIGURATION

image.png

image.png

image.png

Ví dụ: Khi bị lỗi show trang lỗi chứa thông tin nhạy cảm

image.png

image.png

Thay vì vậy, nên hiển thị chung chung là

image.png

MỘT SỐ LỖI PHỔ BIẾN

Content Security Policy _(CSP) Header Not Set

image.png

image.png

X-Content-Type-Options Header Missing

image.png

Bonus:

image.png

  • Công cụ để lấy tất cả các tên miền mà website tải tài nguyên về nếu triển khải bổ sung config header CSP: https://www.webpagetest.org/ image.png

All rights reserved

Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí