پیکربندی ناامن(N/A)
آسیبپذیریهایی که به دلیل تنظیمات نادرست یا پیشفرض سرورها، برنامهها و سرویسها ایجاد میشوند.
پیکربندی ناامن چیه؟
خلاصه در یه جمله: وقتی سرور یا برنامه رو با تنظیمات پیشفرض یا غلط رها میکنی و هکر راحت وارد میشه!
فرض کن یه خونه خریدی. در رو قفل نمیکنی، پنجرهها بازه، کلید یدک رو زیر گلیم گذاشتی! هکر هم میاد راحت وارد میشه. پیکربندی ناامن همینه — سیستم امنه، ولی تو درست کانفیگش نکردی .
مثالهای پیکربندی ناامن:
۱. پسورد پیشفرض: سرور رو نصب میکنی، پسورد admin/admin رو عوض نمیکنی. هکر با همون وارد میشه!
۲. صفحه ادمین عمومی:
پنل ادمین رو میذاری روی /admin و هیچ محافظتی نداره. هکر راحت پیداش میکنه!
۳. Error Messages زیاد: وقتی خطا میخوره، تمام جزئیات رو نشون میده (نسخه سرور، مسیر فایلها، کوئری SQL). هکر از این اطلاعات استفاده میکنه!
۴. سرویسهای غیرضروری: پورتهای اضافی بازه، سرویسهایی که نیاز نیستن روشنه. هر کدوم یه راه نفوذه!
۵. Headers امنیتی نداره:
Headers مثل X-Frame-Options، Content-Security-Policy رو نمیذاری. سایتت در برابر کلیکجکینگ و XSS آسیبپذیره!
۶. Cloud Storage عمومی: باکت S3 رو عمومی میذاری. هر کسی میتونه فایلهات رو دانلود کنه!
چرا برای امنیت مهمه؟
چون شماره ۵ OWASP Top 10 2021 هست! خیلی از شرکتها پول زیاد میدن برای امنیت، ولی چون کانفیگ رو درست انجام نمیدن، هکر راحت وارد میشه. این آسیبپذیریها معمولاً راحتترین هدفها هستن.