10.5

a97fb998 · wizardforcel · fa6df6f5 · a97fb998
隐藏空白更改
内联并排

Showing with 61 addition and 0 deletion

ch10.md ch10.md +61 -0

未找到文件。
--- a/ch10.md
+++ b/ch10.md
@@ -252,3 +252,64 @@ OWASP 拥有值得阅读的 XSS 预防速查表：
 之前说过，下标的表可能包含访问对象所需的权限级别，更加严格的话还有拥有者的 ID。所以，它只能够在请求用户是拥有者的情况下访问。

 最后，输入校验必须存在于 Web 应用安全的每个层面。
+
+## A5 基本的安全配置指南
+
+系统的默认配置，包括操作系统和Web 服务器，多数用于演示和强调他们的基本或多数有关特性，并不能保护它们不被攻击。
+
+一些常见的可能使系统沦陷的默认配置，是数据库、Web 服务器或CMS 安装时创建的默认管理员账户，以及默认管理员页面、默认栈回溯错误信息，以及其它。
+
+这个秘籍中，我们会涉及 OWASP Top 10 中第五大关键漏洞，错误的安全配置。
+
+### 操作步骤
+
+1.  可能的话，删除所有管理员应用，例如 Joomla 的 admin，WordPress 的 admin，PhpMyAdmin，或者 Tomcat Manager。如果不能这样，使它们只能从本地网络访问，例如，在 Apache 服务器中禁止来自外部网络的 PhpMyAdmin 访问，修改`httd.conf`文件（或者相应的站点配置文件）。
+
+    ```
+    <Directory /var/www/phpmyadmin>
+    
+        Order Deny,Allow  
+        Deny from all  
+        Allow from 127.0.0.1 ::1  
+        Allow from localhost  
+        Allow from 192.168  
+        Satisfy Any
+        
+    </Directory>
+    ```
+    
+    这会首先禁止所有地址到`phpmyadmin`目录的访问，之后它允许任何来自 locaohost 和以`192.168`开头的地址的请求，这是本地网络的地址。
+    
+2.  修改所有 CMS、应用、数据库、服务器和框架的所有管理员密码，使其强度足够。一些应用的例子是：
+
+    +   Cpanel 
+    +   Joomla 
+    +   WordPress 
+    +   PhpMyAdmin 
+    +   Tomcat manager
+    
+3.  禁用所有不必要或未使用的服务器和应用特性。从日常或每周来看，新的漏洞都出现在 CMS 的可选模块和插件中。如果你的应用不需要它们，就不要激活它们。
+
+4.  始终执行最新的安全补丁和更新。在生成环境，建立测试环境来预防使站点不工作的缺陷十分重要，因为新版本存在一些兼容性及其它问题。
+
+5.  建立不会泄露跟踪信息、软件版本、程序组件名称，或任何其它调试信息的自定义的错误页面。如果开发者需要跟踪错误记录或者一些一些标识符对于技术支持非常必要，创建带有简单 ID 和错误描述的索引，并只展示 ID 给用户。所以当错误报告给相关人士的时候，它们会检查下标并且知道发生了什么错误。
+
+6.  采取“最小权限原则”。每个用户在每个层面（操作系统、数据库、或应用）上都应该只能够严格访问正确操作所需的信息。
+
+7.  使用上一个要点来考虑账户，构建安全配置的原则，并且将其应用到每个新的实现、更新或发布以及当前系统中。
+
+8.  强制定期的安全测试或审计，来帮助检测错误配置或遗漏的补丁。
+
+### 工作原理
+
+谈论安全和配置问题时，“细节决定成败”十分恰当。web 服务器、数据库服务器、CMS、或者应用配置应该在完全可用和实用、以及保护用户和拥有者之间取得平衡。
+
+Web 应用的一个常见错误配置就是一些 Web 管理站点对整个互联网都可见。这看起来并不是个大问题，但是我们应该知道，管理员登录页面更容易吸引攻击者，因为它可以用于获得高级权限等级，并且任何 CMS、数据或者站点管理工具都存在已知的常用默认密码列表。所以，我们强烈推荐不要把这些管理站点暴露给外部，并且尽可能移除它们。
+
+此外，强密码的使用，以及修改默认密码（即使它们是强密码），在发布应用到公司内部网络，以及互联网的时候需要强制执行。当今，当我们将服务器开发给外部的时候，它收到的第一个流量就是端口扫描，登录页面请求，以及登录尝试，甚至在第一个应用知道该应用之前。
+
+自定义错误页面的使用有助于安全准备，因为 Web 服务器和应用中的默认的错误信息展示太多的信息（从攻击者角度），它们关于错误、所使用的编程语言、栈回溯、所使用的数据库、操作系统以及其它。这些信息不应该暴露，因为它会帮助我们理解应用如何构建，并且提供所使用软件的版本和名称。攻击者通过这些信息就可以搜索已知漏洞，并构造更加有效的攻击过程。
+
+一旦我们的服务器上的部署应用和所有服务都正确配置，我们就可以指定安全原则并且将其应用于所有要配置的新服务器或者已更新的服务器，或者当前带有合理规划的生产服务器。
+
+这个配置原则需要持续测试，以便改进它以及持续保护新发现的漏洞。