Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

DSS - OWASP TOP 10 > A05:2021 – Configuración de Seguridad Incorrecta > Flashcards

A05:2021 – Configuración de Seguridad Incorrecta Flashcards

1
Q

Cuales son las CWE mas notables parta la vulnerabilidad de Configuracion de Seguridad Incorrecta?

A
  • CWE-16 Configuración
  • CWE-611 Restricción incorrecta entidades externas referenciadas de XML.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Como pueden ser vulnerables las aplicaciones en el contexto de Configuracion de Seguridad Incorrecta?

A
  • Le falta el hardening de seguridad adecuado en cualquier parte del stack tecnológico o permisos configurados incorrectamente en los servicios en la nube.
  • Tiene funciones innecesarias habilitadas o instaladas (puertos, servicios, páginas, cuentas o privilegios innecesarios, por ejemplo).
  • Las cuentas predeterminadas y sus contraseñas aún están habilitadas y sin cambios.
  • El manejo de errores revela a los usuarios rastros de pila u otros mensajes de error demasiado informativos.
  • Para sistemas actualizados, las últimas funciones de seguridad están deshabilitadas o no configuradas de forma segura.
  • Las configuraciones de seguridad en los servidores de aplicaciones, frameworks de aplicaciones (Struts, Spring o ASP.NET por ejemplo), bibliotecas, bases de datos, etc., no poseen configurados valores seguros.
  • El servidor no envía encabezados o directivas de seguridad, o no poseen configurados valores seguros.
  • El software está desactualizado o es vulnerable
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

En que contexto los sistemas correrian mayor riesgo en lo que refiere a Configuracion de seguridad incorrecta?

A

Sin un proceso de configuración de seguridad de aplicaciones coordinado y repetible, los sistemas corren un mayor riesgo.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Como se previene la vulnerabilidad de Configuracion de seguridad incorrecta?

A

Deben implementarse procesos de instalación seguros:
* Un proceso de hardening repetible agiliza y facilita la implementación de otro entorno que esté debidamente inaccesible. Los entornos de desarrollo, control de calidad y producción deben configurarse de forma idéntica, con diferentes credenciales utilizadas en cada uno.
* Una plataforma mínima sin funciones, componentes, documentación ni ejemplos innecesarios. Elimine o no instale características y frameworks no utilizados.
* Una tarea para revisar y actualizar las configuraciones apropiadas para todas las notas de seguridad, actualizaciones y parches como parte del proceso de administración de parches.
* Una arquitectura de aplicación segmentada proporciona una separación efectiva y segura entre componentes o instancias, con segmentación, organización en contenedores o grupos de seguridad en la nube
* Envío de directivas de seguridad a los clientes, por ejemplo, encabezados de seguridad.
* Un proceso automatizado para verificar la efectividad de las configuraciones y ajustes en todos los entornos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

De que vulnerabilidad es el siguiente caso?
El servidor de aplicaciones contiene aplicaciones de ejemplo que no se eliminan del servidor de producción. Estas aplicaciones de ejemplo poseen fallas de seguridad conocidas que los atacantes utilizan para comprometer el servidor. Supongamos que una de estas aplicaciones es la consola de administración y no se modificaron las cuentas predeterminadas. En ese caso, el atacante inicia sesión con las contraseñas predeterminadas y toma el control.

A

Configuración de Seguridad Incorrecta

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

De que vulnerabilidad es el siguiente caso?
El listado de directorios no se encuentra deshabilitado en el servidor. Un atacante descubre que simplemente puede enumerar directorios. El atacante detecta y descarga las clases Java compiladas, que decompila y aplica ingeniería inversa para ver el código. El atacante luego encuentra una falla severa de control de acceso en la aplicación.

A

Configuración de Seguridad Incorrecta

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

De que vulnerabilidad es el siguiente caso?
La configuración del servidor de aplicaciones permite que se retornen a los usuarios mensajes de error detallados, por ejemplo, trazas de pila(stack traces). Esto potencialmente expone información confidencial o fallas subyacentes, como versiones de componentes que se sabe son vulnerables.

A

Configuración de Seguridad Incorrecta

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

De que vulnerabilidad es el siguiente caso?
Un proveedor de servicios en la nube (CSP) posee permisos de uso compartido predeterminados abiertos a Internet a otros usuarios. Esto permite acceder a los datos confidenciales almacenados en el almacenamiento en la nube.

A

Configuración de Seguridad Incorrecta

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Cual es el top de la vulnerabilidad Configuración de Seguridad Incorrecta

A

5

How well did you know this?
1
Not at all
2
3
4
5
Perfectly

DSS - OWASP TOP 10 (10 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions