Una buena seguridad requiere tener una configuración segura definida y desplegada para la aplicación, los marcos, el servidor de aplicación, el servidor web, el servidor de base de datos, etc.
Se deben definir, aplicar y mantener ajustes seguros, ya que los valores predeterminados suelen ser inseguros. Además, los programas informáticos deberían mantenerse actualizados.
Si un atacante descubre una configuración de seguridad inadecuada, puede iniciar sesión con credenciales predeterminadas y hacerse cargo de la aplicación como administrador.
ExplotabilidadPrevalenciaDetectabilidadImpactoFácilComunidadModeración
Escenario de ejemplo : La configuración del servidor de una aplicación permite que se devuelvan los rastros de la pila a los usuarios, exponiendo potencialmente los fallos subyacentes. A los atacantes les encanta la información extra que proporcionan los mensajes de error.
Vea esta discusión sobre los rastros de la pila y la seguridad para más información.
Medidas preventivas
- Los entornos de desarrollo, control de calidad y producción deben estar configurados de forma idéntica (con diferentes contraseñas utilizadas en cada entorno).
- Se debe mantener un proceso para hacer un seguimiento del despliegue de todas las nuevas actualizaciones y parches de software de manera oportuna en cada entorno desplegado.
- Considere la posibilidad de realizar escaneos y auditorías periódicas para ayudar a detectar futuras malformaciones o parches faltantes.