Sommaire

Mauvaise configuration de sécurité

1. Présentation et risques

La mauvaise configuration des éléments de sécurité arrive en cinquième position du classement OWASP TOP 10. Le périmètre d’une mauvaise configuration de sécurité peut dépasser le périmètre d’une application. La mise à jour des serveurs web, des librairies, des comptes administrateur inactifs, l’affichage des messages d’erreurs... sont des vulnérabilités associées à ce risque. Le principe des moindres privilèges, la sécurité par défaut, la défense en profondeur et la réduction des surfaces d’attaque aident à se protéger de ces risques et seront étudiés dans le prochain chapitre en détail.

Regardons l’évaluation des menaces suivant l’OWASP :

images/03EP56.png

2. Scénarios

De façon à comprendre le risque, voici une liste de scénarios possibles :

  • Le cybercriminel provoque une erreur sur l’application, ce qui lui permet d’obtenir des informations importantes pour corrompre l’application.

  • Le serveur hébergeant l’application a des utilisateurs et mots de passe par défaut sur les services SQL, SSH, FTP, Apache, IIS, etc.

  • Une application faite avec un framework est "poussée" en production mais la partie préproduction avec des identifiants par défaut est aussi en production.

  • Le serveur ...