Dieser Blogbeitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, behandelt sicherheitsrelevante Fehlkonfigurationen.
Sicherheitsrelevante Fehlkonfigurationen umfassen einen großen Bereich an Sicherheitslücken, die sowohl bei der Installation und Konfiguration als auch bei Administration und Wartung einer Webapplikation entstehen können. Dabei können alle Ebenen der Anwendung inklusive der zugrundeliegenden Web- und Datenbankserver betroffen sein. Diese Sicherheitslücken können es Angreifern erlauben, unautorisierten Zugriff auf sensible Informationen oder auch Benutzerkonten zu erlangen.
Beispielszenarien:
- Verwendung von Diensten mit Standardkonten und Standardpasswörtern
- Einsatz von veralteten Komponenten oder Software mit bekannten Sicherheitslücken
- Betrieb von unnötigen Serverdiensten (z.B. Windows-Freigabe auf einem öffentlichem Webserver)
- Öffentlich zugängliche Test- und Administrationsanwendungen (z.B. phpMyAdmin) auf Produktivsystemen
- Unsichere Konfiguration des Webservers(z.B. aktivierte Verzeichnislisten oder detaillierte Fehlerausgaben)
Gegenmaßnahmen
Um sicherheitsrelevanten Fehlkonfigurationen vorzubeugen, sollten allgemeine Maßnahmen zur Server- bzw. Systemhärtung ergriffen und als Prozess etabliert werden. Die OWASP Top Ten raten zu einer Trennung von Entwicklungs-, Test und Produktivsystemen mit identischer Konfiguration zur einfachen und automatisierten Verteilung einer aktuellen sowie abgesicherten Umgebung. Dies beinhaltet das zeitnahe und vor allem regelmäßige Einpflegen von aktuellen Softwareupdates aller Komponenten einschließlich der verwendeten Bibliotheken. Regelmäßige Tests und Audits helfen, sicherheitsrelevante Fehlkonfigurationen zu erkennen und zu vermeiden.
Zusammenfassung
Sicherheitsrelevante Fehlkonfigurationen betreffen nicht ausschließlich Schwachstellen in der eigentlichen Webapplikation, sondern treten in erster Linie in den zugrundeliegenden Komponenten der Anwendung auf. Sämtliche dieser Bausteine, vom Webserver über die Datenbank, bis hin zur Bildverarbeitungsbibliothek, können Sicherheitslücken oder Fehlkonfigurationen aufweisen und somit unerlaubten Zugriff auf eine Webapplikation und sensible Daten ermöglichen.