iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 8
1
自我挑戰組

到處挖坑,現在該來還(填)願(坑)ㄌ !!!系列 第 8

『 Day 8 』Web Security - A6 . Security Misconfiguration

A6 - Security Misconfiguration 不安全的組態設定

通常原因都在於系統管理不當所造成的安全性漏洞。如下例子:

  • 系統啟用或安裝了非必要功能,例如:非必要的端口、服務、網頁、帳戶或權限等。
  • 系統預設帳密未更改。
  • 偵錯模式(Debug)未關閉,導致錯誤訊息中包含的敏感性個資外流。
  • 對於更新的系統,禁用或不安全的配置最新安全功能。
  • Server、Framework(如:Struts、Spring、ASP.NET)、library、DB 等沒有進行安全配置。
  • 未定期進行安全更新的系統。

舉例

情境一

假設我從 Github 上 Fork 了一份專案,然後將這份專案架設起來,並將修改後的專案重新上傳至 Github 做備份,這時候我們會遇到幾個問題:

  1. 未更改預設的帳密,可能會導致敏感訊息外流。
  2. 上傳至 Github 時,未設置 .gitignore 來忽視特定的檔案,例如資料庫的存取密碼等。
  3. 使用不安全的HTTP協定

情境二 - 雲端共享權限問題

例如很多學校都會有提供學生免費的 G Suite,同學們當然也很善用其中的無限量的 Google Drive,塞了一堆的影片(恩?。但是往往有些同學並不會注意到雲端共享的權限管理,因此我 ...

  1. 將搜尋列的檔案位置改成 在 XXX 中的所有人皆可檢視 或在搜尋列打上 source:domain
    https://ithelp.ithome.com.tw/upload/images/20190920/20115060BfPLVcjzAV.png

  2. 我順便來看看有甚麼影片在上面,結果發現了一堆免費的電影餒 ~

https://ithelp.ithome.com.tw/upload/images/20190920/20115060PRfAL6Yqji.png

  1. 咦 ? 這是甚麼 ? (喵

https://ithelp.ithome.com.tw/upload/images/20190920/20115060UjIdXkiyuX.png


上一篇
『 Day 7 』Web Security - A5 . Broken Access Control
下一篇
『 Day 9 』Web Security - A7 . Cross-Site Scripting (XSS) - 上篇
系列文
到處挖坑,現在該來還(填)願(坑)ㄌ !!!30

1 則留言

0
小群
iT邦新手 5 級 ‧ 2019-09-24 09:37:23

酷喔XDDDD

我 Demo 給你看過了XD

小群 iT邦新手 5 級 ‧ 2019-09-24 22:59:03 檢舉

哈哈,我們學校都沒有呢

我要留言

立即登入留言