5 :Security Misconfiguration

Con más cambios hacia software altamente configurable, no es sorprendente ver que esta categoría suba.Puede ocurrir cuando faltan ajustes de configuración del sistema o de la aplicación o se implementan erróneamente, lo que permite el acceso no autorizado. Errores de configuración de seguridad comunes como resultado de dejar la configuración predeterminada sin cambios, cambios de configuración erróneos u otros problemas técnicos.

  • Falta de refuerzo de seguridad adecuado en cualquier parte de la pila de aplicaciones o permisos configurados incorrectamente en los servicios en la nube.

  • Se habilitan o instalan funciones innecesarias (por ejemplo, puertos, servicios, páginas, cuentas o privilegios innecesarios).

  • Las cuentas predeterminadas y sus contraseñas aún están habilitadas y sin cambios.

  • El manejo de errores revela rastros de pila u otros mensajes de error demasiado informativos para los usuarios.

  • Para los sistemas actualizados, las funciones de seguridad más recientes están deshabilitadas o no configuradas de forma segura.

  • Las configuraciones de seguridad en los servidores de aplicaciones, marcos de aplicaciones (por ejemplo, Struts, Spring, ASP.NET), bibliotecas, bases de datos, etc., no están configuradas con valores seguros.

  • El servidor no envía encabezados ni directivas de seguridad, o no están configurados con valores seguros.

  • El software está desactualizado o es vulnerable.

Lista de Mapeados CWEs

CWE-2 7PK - Environment

CWE-11 ASP.NET Misconfiguration: Creating Debug Binary

CWE-13 ASP.NET Misconfiguration: Password in Configuration File

CWE-15 External Control of System or Configuration Setting

CWE-16 Configuration

CWE-260 Password in Configuration File

CWE-315 Cleartext Storage of Sensitive Information in a Cookie

CWE-520 .NET Misconfiguration: Use of Impersonation

CWE-526 Exposure of Sensitive Information Through Environmental Variables

CWE-537 Java Runtime Error Message Containing Sensitive Information

CWE-541 Inclusion of Sensitive Information in an Include File

CWE-547 Use of Hard-coded, Security-relevant Constants

CWE-611 Improper Restriction of XML External Entity Reference

CWE-614 Sensitive Cookie in HTTPS Session Without 'Secure' Attribute

CWE-756 Missing Custom Error Page

CWE-776 Improper Restriction of Recursive Entity References in DTDs ('XML Entity Expansion')

CWE-942 Permissive Cross-domain Policy with Untrusted Domains

CWE-1004 Sensitive Cookie Without 'HttpOnly' Flag

CWE-1032 OWASP Top Ten 2017 Category A6 - Security Misconfiguration

CWE-1174 ASP.NET Misconfiguration: Improper Model Validation

Recursos

LogoA05 Security Misconfiguration - OWASP Top 10:2021
Anterior4 :Insecure DesignSiguiente6 :Vulnerable and Outdated Components

Última actualización