- vừa được xem lúc

[Security testing cho gà mờ] A05: 2021 SECURITY MISCONFIGURATION

0 0 19

Người đăng: HanSora

Theo Viblo Asia

Cấu hình sai bảo mật là gì?

Theo OWASP: Cấu hình sai bảo mật là các biện pháp kiểm soát bảo mật được thiết lập không chính xác hoặc không an toàn, khiến hệ thống và dữ liệu của bạn gặp rủi ro. Về cơ bản, bất kỳ thay đổi cấu hình, cài đặt mặc định hoặc sự cố kỹ thuật trên bất kỳ thành phần nào trong endpoint của bạn đều có thể dẫn đến cấu hình sai.

COMMON SECURITY MISSCONFIGURATION

image.png

image.png

image.png

Ví dụ: Khi bị lỗi show trang lỗi chứa thông tin nhạy cảm

image.png

image.png

Thay vì vậy, nên hiển thị chung chung là

image.png

MỘT SỐ LỖI PHỔ BIẾN

Content Security Policy _(CSP) Header Not Set

image.png

image.png

X-Content-Type-Options Header Missing

image.png

Bonus:

image.png

  • Công cụ để lấy tất cả các tên miền mà website tải tài nguyên về nếu triển khải bổ sung config header CSP: https://www.webpagetest.org/ image.png

Bình luận

Bài viết tương tự

- vừa được xem lúc

Một số tips giúp ứng dụng Ruby on Rails bảo mật hơn

Tổng quan. Các Web framework ra đời giúp cho các lập trình viên phát triển các ứng dụng web một cách nhanh chóng và tiện lợi.

0 0 94

- vừa được xem lúc

[Security testing cho gà mờ] Giới thiệu về OWASP TOP 10

SECURITY OVERVIEW. Kiểm thử bảo mật kết hợp các phương pháp kiểm.

0 0 27

- vừa được xem lúc

OWASP là gì ? Top 10 OWASP 2023

OWASP là gì. OWASP là một tổ chức phi lợi nhuận toàn cầu tập trung vào nghiên cứu và phát triển các phương pháp bảo mật ứng dụng web.

0 0 15

- vừa được xem lúc

Hướng dẫn Sercurity Testing bằng tool OWASP ZAP cho pen tester - Kiểm thử xâm nhập

Hướng dẫn kiểm thử bảo mật (Sercurity Testing) bằng tool OWASP ZAP dành cho Pen Testers mới. I.

0 0 20

- vừa được xem lúc

Bảo mật ứng dụng Flutter

Đôi lời. Bảo mật ứng dụng di động là một thách thức mà các nhà phát triển sẽ phải đối mặt ít nhất một lần trong đời.

0 0 11

- vừa được xem lúc

OWASP MAS mới nhất có gì 🔥 ???

Tổ chức OWASP từ lâu đã phát triển những tài liệu nổi tiếng, được công nhận rộng rãi trong lĩnh vực bảo mật. Nếu đã biết đến OWASP thì chắc hẳn không một ai không biết đến OWASP Top 10 - danh sách 10

0 0 10