A6 - Fehlkonfiguration

vorige Präsentation: A5 - Zugriffskontrolle | zurück zum Buch-Kapitel [esc] | Nächste Präsentation A7 - XSS

Auf Platz 6 der OWASP Top 10 2017.

Die OWASP beschreibt dieses Problem allgemein so:

Sicherheitsrelevante Fehlkonfiguration kann auf jeder Ebene der Anwendung, inkl. Plattform, Web- und Anwendungs-server, Frameworks oder Programmcode vorkommen. Die Zusammenarbeit zwischen Entwicklern und Administratoren ist wichtig, um eine sichere Konfiguration aller Ebenen zu gewährleisten.

In größeren Projekten / Firmen ist eine Arbeitsteilung üblich zwischen Entwicklung (Development) und Systemadmistration (Operations).

Ebenen

Für eine Web-Applikation muss man dabei mindestens folgende Schichte beachten:

Jeder dieser Schichten gilt es richtig zu konfigurieren und Sicherheits-Updates einzuspielen.

Wenn es eine Arbeitsteilung zwischen Development und Operations gibt ist zu klären wer für welche Schicht zuständig ist.

Konfiguration + Hardening

Zwei Szenarien:

Dafür gibt es oft schon fertige Konfigurationen, oder Tutorials

Sicherheitsupdates

Keine Software ist sicher, in jeder Software werden Sicherheitsprobleme entdeckt. Die relevante Fragen sind: werden Sicherheitsprobleme die bekannt werden möglichst schnell behoben? Und in folge: Wenn ein Update zur Verfügung steht, wird es möglichst schnell installiert?

Meine Verantwortung

An dieser Stelle sollten Sie sich fragen: bei den Webprojekten, an denen Sie beteiligt waren … wer ist für welchen Teil der Konfiguration / Updates zuständig? Wo liegt Ihre persönliche Verantwortung?

A6 - Fehlkonfiguration

vorige Präsentation: A5 - Zugriffskontrolle | zurück zum Buch-Kapitel [esc] | Nächste Präsentation A7 - XSS

/

#