رده:تنظیمات نادرست امنیتی(Security Misconfiguration)

از Secure Coding
نسخهٔ تاریخ ‏۲۷ دسامبر ۲۰۱۹، ساعت ۱۴:۱۰ توسط Admin (بحث | مشارکت‌ها)
(تفاوت) → نسخهٔ قدیمی‌تر | نمایش نسخهٔ فعلی (تفاوت) | نسخهٔ جدیدتر ← (تفاوت)
پرش به ناوبری پرش به جستجو

آسیب پذیری از این نوع دسته بندی بر اثر تنظیم نادرست و یا ناقص موارد امنیتی به وجود می آید.

برخی از این موارد عبارتنند از:

  • کلمه عبور های پیش فرض یکسان برای کاربران
  • موارد راهنمای نصب
  • عدم تنظیم هدر های امنیتی
  • فعال بودن بیهوده سرویس و پورت

برای مثال فرض کنید در صفحه ای از دستوری مانند sleep برای تاخییر در عملیات استفاده می شود.

اگر به درستی از این نوع دستورات استفاده نشود می تواند در نهایت منجر به حملات DOS شود.

روش های جلوگیری[ویرایش]

روش های جلوگیری در PHP[ویرایش]

مثال 1)

<?php
if (is_bad_ip($requester)) {
  sleep(5);  
}
?>

روش 1)

if (is_bad_ip($requester)) {
  header('Location: block.html');
}

روش های جلوگیری در ASP.NET[ویرایش]

مثال 1)

System.Threading.Thread.Sleep(5000);
Response.Redirect("YourPage.aspx");

روش 1)

Response.Redirect("YourPage.aspx");

روش های جلوگیری در JAVA[ویرایش]

مثال 1)

public void doSomething(){
  synchronized(monitor) {
    while(notReady()){
      Thread.sleep(200);
    }
    process();
  }
  ...
}

روش 1)

public void doSomething(){
  synchronized(monitor) {
    while(notReady()){
      monitor.wait(200);
    }
    process();
  }
  ...
}

این رده در حال حاضر حاوی هیچ صفحه یا پرونده‌ای نیست.