Mari kita lihat kesalahan konfigurasi keamanan paling umum yang harus Anda waspadai untuk menjaga keamanan aplikasi web.
Lax Permissions and Lack of Hardening
Salah satu penyebab paling umum dari kesalahan konfigurasi keamanan adalah lemahnya izin pengguna dan pengaturan keamanan akun, terutama dalam kasus lingkungan produksi. Kesalahan umum lainnya adalah menggunakan akun bersama untuk beberapa layanan misalnya menjalankan server web dan server basis data dari akun yang sama.Untuk memastikan keamanan, semua layanan di server produksi harus dijalankan menggunakan akun terpisah dan akun ini harus memiliki izin yang sangat minimum
Default Settings and Default Passwords
Penyebab paling umum dari kesalahan konfigurasi keamanan adalah mempercayai pengaturan default. Setiap perangkat lunak yang Anda instal, termasuk server web, server aplikasi, dan server basis data, memerlukan konfigurasi keamanan manual.Perangkat lunak semacam itu biasanya dilengkapi dengan semua fungsionalitas yang diaktifkan, dengan asumsi bahwa pengguna mungkin ingin memanfaatkannya. Itu adalah konfigurasi yang tidak aman karena fungsionalitas tambahan apa pun berarti titik masuk potensial ekstra bagi penyerang. Oleh karena itu, hal pertama yang harus dilakukan saat Anda menginstal perangkat lunak baru adalah mengubah pengaturan default dan mematikan semua layanan yang tidak perlu, fitur yang tidak perlu, dll.
Untuk menghindari akses yang tidak sah, Anda harus mengubah setiap kata sandi default dan Anda harus tahu cara membuat kata sandi yang aman. Kesalahan konfigurasi kontrol akses adalah salah satu penyebab utama pelanggaran keamanan yang serius.
Exposing Information
Jika penyerang mengetahui jenis perangkat lunak yang Anda gunakan di back end Anda, misalnya, jenis dan nomor versi server database Anda, mereka akan lebih mudah mencoba dan menemukan kerentanan terkait. Itulah mengapa sangat penting untuk tidak pernah mengungkapkan informasi semacam itu kepada penyerang.Sistem yang dikonfigurasi dengan baik harus memiliki penanganan kesalahan yang dikonfigurasi untuk menyembunyikan pesan kesalahan yang mungkin memberi petunjuk kepada penyerang
Contoh lain dari mengekspos terlalu banyak adalah mengizinkan daftar direktori. Jika penyerang dapat membuat daftar isi direktori di server web, mereka berpotensi mengakses banyak file yang tidak dilindungi dan file ini mungkin berisi data sensitif. Daftar direktori dianggap sebagai cacat kontrol akses yang serius.
Out of Date Software
Keamanan aplikasi web berbeda dari keamanan jaringan tetapi keduanya terkait erat. Misalnya, kesalahan dalam perangkat lunak server web dianggap sebagai masalah keamanan jaringan. Itulah mengapa semua perangkat lunak perlu dipantau dan diperbarui dengan tambalan keamanan terbaru.Oleh karena itu, untuk menjaga keamanan aplikasi web, sangat penting untuk memeriksa patch yang hilang secara teratur, terutama dalam kasus perangkat lunak yang dihadapi publik seperti server web.
Security Scanning to the Rescue
Anda telah membaca beberapa kesalahan yang sering terjadi pada saat konfigurasi keamanan, lalu bagaimana cara menghindarinya ?Metode paling efisien adalah dengan menjalankan pemindaian secara teratur, yang mengekspos masalah keamanan. Pemindaian semacam itu harus mencakup sistem produksi dan sistem penahapan – konfigurasi produksi sering kali didasarkan pada konfigurasi penahapan.
Cara terbaik untuk menguji keamanan adalah dengan menggunakan pemindai profesional yang tidak hanya menemukan kesalahan konfigurasi keamanan jaringan (seperti yang dilakukan kebanyakan pemindai), tetapi berfokus pada keamanan aplikasi web. Acunetix adalah pemindai yang membantu Anda mempertahankan arsitektur aplikasi yang kuat dan membantu mencegah kesalahan konfigurasi di masa mendatang. Selain menemukan kerentanan web tipikal seperti SQLi dan XSS, Acunetix menemukan semua masalah keamanan yang tercantum di atas dan banyak lagi.
0 Comment