Coders Conquer Security OWASP Top 10 API-Serie — Sicherheitsfunktionen deaktiviert/Debug-Funktionen aktiviert/Unzulässige Berechtigungen
虽然这个名单上的大多数漏洞都是针对API的,但禁用安全功能/启用调试功能/不当权限问题是一个可以在任何地方发生的问题。它在API中可能更普遍一些,但攻击者通常会试图在网络中的任何地方找到未修补的缺陷和未受保护的文件或目录。遇到一个启用了调试功能或禁用了安全功能的API,就会使他们的邪恶工作更容易一些。更糟糕的是,自动工具可以检测和利用安全错误配置,所以如果你的环境中有这些配置,它们很有可能被利用,这就是为什么这个漏洞被列入OWASP的危险API缺陷名单。
在我们进入乐趣之前,看看你是否能解决这个调试难题。
被禁用的安全功能/启用的调试功能/不恰当的权限缺陷是如何潜入API的?
为了了解这个多维的API缺陷是如何被添加到网络中的,我们必须把它分解成各个组成部分。让我们从启用调试功能的问题开始。调试是一个有用的工具,它可以帮助开发者弄清楚为什么应用程序不能正确执行或出现错误。启用调试功能后,错误和异常会生成详细的错误页面,这样开发人员就可以看到出错的地方并解决问题。当一个应用程序仍在开发中时,将其激活是完全可以的。
然而,大多数框架都有关于在生产环境中运行调试模式的警告,这是有原因的,可能就在激活调试的代码中。比如说。
# SECURITY WARNING: don't run with debug turned on in production!
DEBUG = True
在这个例子中,调试已经被激活。当出现异常时,Django应用程序将生成详细的错误页面。如果这是在生产环境中进行的,那么对手就可以接触到这些错误页面,其中包括关于环境的元数据信息。尽管大多数框架默认关闭了调试功能,但如果在漫长的开发过程中激活了调试功能,很容易忘记将其重新关闭。那么当应用程序转移到生产环境时,它就为攻击者提供了大量关于如何破坏应用程序,甚至是整个服务器或网络的信息。
虽然启用调试模式大多是一个独立的问题,但不适当的权限和禁用的安全功能漏洞往往会一起发挥作用。例如,在OWASP提供的一个真实场景中,一个攻击者使用搜索引擎找到了一个意外连接到互联网的数据库。因为这个流行的数据库管理系统使用的是其默认配置,认证被禁用。因此,通过结合不当的权限和禁用的安全功能漏洞,攻击者获得了对数百万条记录的访问权,其中包括PII、个人喜好和认证数据。
消除禁用的安全功能/启用的调试功能/不当的权限漏洞
在消除这个漏洞方面,你可能需要双管齐下。要消除问题的启用调试部分,只需在开发过程中增加一个检查,以确保在将API或应用程序转移到生产环境之前禁用调试。从我们的例子来看,这样做的正确命令如下。
# SECURITY WARNING: don't run with debug turned on in production!
DEBUG = False
现在,Django应用程序的调试功能被禁用,DEBUG标志被配置为False。没有错误页面会被生成以应对错误。如果对手仍然获得了对错误页面的访问,它们不会包含任何有用的元数据,也不会对应用程序构成风险。
消除被禁用的安全功能和不适当的权限漏洞要困难一些,因为它们可能包含了广泛的具体漏洞。阻止它们的最好方法是开发一个标准的、可重复的流程,以便快速、方便地将锁定的资产部署到生产环境中。
即使如此,你也应该创建一个流程,对协调文件、API组件和云服务(如Amazon S3桶的权限)进行不断的审查和更新。这种审查也应该随着时间的推移对整个环境的安全设置的整体有效性进行评级,以确保组织一直在改进其API安全。
请查看 Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试一下 Secure Code Warrior 培训平台的演示,以保持你所有网络安全技能的磨练和更新。
Es ist wahrscheinlich etwas häufiger in APIs, aber Angreifer versuchen oft, ungepatchte Fehler und ungeschützte Dateien oder Verzeichnisse überall in einem Netzwerk zu finden. Wenn sie auf eine API stoßen, bei der Debugging aktiviert oder Sicherheitsfunktionen deaktiviert sind, wird ihre schändliche Arbeit nur ein wenig einfacher.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
虽然这个名单上的大多数漏洞都是针对API的,但禁用安全功能/启用调试功能/不当权限问题是一个可以在任何地方发生的问题。它在API中可能更普遍一些,但攻击者通常会试图在网络中的任何地方找到未修补的缺陷和未受保护的文件或目录。遇到一个启用了调试功能或禁用了安全功能的API,就会使他们的邪恶工作更容易一些。更糟糕的是,自动工具可以检测和利用安全错误配置,所以如果你的环境中有这些配置,它们很有可能被利用,这就是为什么这个漏洞被列入OWASP的危险API缺陷名单。
在我们进入乐趣之前,看看你是否能解决这个调试难题。
被禁用的安全功能/启用的调试功能/不恰当的权限缺陷是如何潜入API的?
为了了解这个多维的API缺陷是如何被添加到网络中的,我们必须把它分解成各个组成部分。让我们从启用调试功能的问题开始。调试是一个有用的工具,它可以帮助开发者弄清楚为什么应用程序不能正确执行或出现错误。启用调试功能后,错误和异常会生成详细的错误页面,这样开发人员就可以看到出错的地方并解决问题。当一个应用程序仍在开发中时,将其激活是完全可以的。
然而,大多数框架都有关于在生产环境中运行调试模式的警告,这是有原因的,可能就在激活调试的代码中。比如说。
# SECURITY WARNING: don't run with debug turned on in production!
DEBUG = True
在这个例子中,调试已经被激活。当出现异常时,Django应用程序将生成详细的错误页面。如果这是在生产环境中进行的,那么对手就可以接触到这些错误页面,其中包括关于环境的元数据信息。尽管大多数框架默认关闭了调试功能,但如果在漫长的开发过程中激活了调试功能,很容易忘记将其重新关闭。那么当应用程序转移到生产环境时,它就为攻击者提供了大量关于如何破坏应用程序,甚至是整个服务器或网络的信息。
虽然启用调试模式大多是一个独立的问题,但不适当的权限和禁用的安全功能漏洞往往会一起发挥作用。例如,在OWASP提供的一个真实场景中,一个攻击者使用搜索引擎找到了一个意外连接到互联网的数据库。因为这个流行的数据库管理系统使用的是其默认配置,认证被禁用。因此,通过结合不当的权限和禁用的安全功能漏洞,攻击者获得了对数百万条记录的访问权,其中包括PII、个人喜好和认证数据。
消除禁用的安全功能/启用的调试功能/不当的权限漏洞
在消除这个漏洞方面,你可能需要双管齐下。要消除问题的启用调试部分,只需在开发过程中增加一个检查,以确保在将API或应用程序转移到生产环境之前禁用调试。从我们的例子来看,这样做的正确命令如下。
# SECURITY WARNING: don't run with debug turned on in production!
DEBUG = False
现在,Django应用程序的调试功能被禁用,DEBUG标志被配置为False。没有错误页面会被生成以应对错误。如果对手仍然获得了对错误页面的访问,它们不会包含任何有用的元数据,也不会对应用程序构成风险。
消除被禁用的安全功能和不适当的权限漏洞要困难一些,因为它们可能包含了广泛的具体漏洞。阻止它们的最好方法是开发一个标准的、可重复的流程,以便快速、方便地将锁定的资产部署到生产环境中。
即使如此,你也应该创建一个流程,对协调文件、API组件和云服务(如Amazon S3桶的权限)进行不断的审查和更新。这种审查也应该随着时间的推移对整个环境的安全设置的整体有效性进行评级,以确保组织一直在改进其API安全。
请查看 Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试一下 Secure Code Warrior 培训平台的演示,以保持你所有网络安全技能的磨练和更新。
虽然这个名单上的大多数漏洞都是针对API的,但禁用安全功能/启用调试功能/不当权限问题是一个可以在任何地方发生的问题。它在API中可能更普遍一些,但攻击者通常会试图在网络中的任何地方找到未修补的缺陷和未受保护的文件或目录。遇到一个启用了调试功能或禁用了安全功能的API,就会使他们的邪恶工作更容易一些。更糟糕的是,自动工具可以检测和利用安全错误配置,所以如果你的环境中有这些配置,它们很有可能被利用,这就是为什么这个漏洞被列入OWASP的危险API缺陷名单。
在我们进入乐趣之前,看看你是否能解决这个调试难题。
被禁用的安全功能/启用的调试功能/不恰当的权限缺陷是如何潜入API的?
为了了解这个多维的API缺陷是如何被添加到网络中的,我们必须把它分解成各个组成部分。让我们从启用调试功能的问题开始。调试是一个有用的工具,它可以帮助开发者弄清楚为什么应用程序不能正确执行或出现错误。启用调试功能后,错误和异常会生成详细的错误页面,这样开发人员就可以看到出错的地方并解决问题。当一个应用程序仍在开发中时,将其激活是完全可以的。
然而,大多数框架都有关于在生产环境中运行调试模式的警告,这是有原因的,可能就在激活调试的代码中。比如说。
# SECURITY WARNING: don't run with debug turned on in production!
DEBUG = True
在这个例子中,调试已经被激活。当出现异常时,Django应用程序将生成详细的错误页面。如果这是在生产环境中进行的,那么对手就可以接触到这些错误页面,其中包括关于环境的元数据信息。尽管大多数框架默认关闭了调试功能,但如果在漫长的开发过程中激活了调试功能,很容易忘记将其重新关闭。那么当应用程序转移到生产环境时,它就为攻击者提供了大量关于如何破坏应用程序,甚至是整个服务器或网络的信息。
虽然启用调试模式大多是一个独立的问题,但不适当的权限和禁用的安全功能漏洞往往会一起发挥作用。例如,在OWASP提供的一个真实场景中,一个攻击者使用搜索引擎找到了一个意外连接到互联网的数据库。因为这个流行的数据库管理系统使用的是其默认配置,认证被禁用。因此,通过结合不当的权限和禁用的安全功能漏洞,攻击者获得了对数百万条记录的访问权,其中包括PII、个人喜好和认证数据。
消除禁用的安全功能/启用的调试功能/不当的权限漏洞
在消除这个漏洞方面,你可能需要双管齐下。要消除问题的启用调试部分,只需在开发过程中增加一个检查,以确保在将API或应用程序转移到生产环境之前禁用调试。从我们的例子来看,这样做的正确命令如下。
# SECURITY WARNING: don't run with debug turned on in production!
DEBUG = False
现在,Django应用程序的调试功能被禁用,DEBUG标志被配置为False。没有错误页面会被生成以应对错误。如果对手仍然获得了对错误页面的访问,它们不会包含任何有用的元数据,也不会对应用程序构成风险。
消除被禁用的安全功能和不适当的权限漏洞要困难一些,因为它们可能包含了广泛的具体漏洞。阻止它们的最好方法是开发一个标准的、可重复的流程,以便快速、方便地将锁定的资产部署到生产环境中。
即使如此,你也应该创建一个流程,对协调文件、API组件和云服务(如Amazon S3桶的权限)进行不断的审查和更新。这种审查也应该随着时间的推移对整个环境的安全设置的整体有效性进行评级,以确保组织一直在改进其API安全。
请查看 Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试一下 Secure Code Warrior 培训平台的演示,以保持你所有网络安全技能的磨练和更新。
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
虽然这个名单上的大多数漏洞都是针对API的,但禁用安全功能/启用调试功能/不当权限问题是一个可以在任何地方发生的问题。它在API中可能更普遍一些,但攻击者通常会试图在网络中的任何地方找到未修补的缺陷和未受保护的文件或目录。遇到一个启用了调试功能或禁用了安全功能的API,就会使他们的邪恶工作更容易一些。更糟糕的是,自动工具可以检测和利用安全错误配置,所以如果你的环境中有这些配置,它们很有可能被利用,这就是为什么这个漏洞被列入OWASP的危险API缺陷名单。
在我们进入乐趣之前,看看你是否能解决这个调试难题。
被禁用的安全功能/启用的调试功能/不恰当的权限缺陷是如何潜入API的?
为了了解这个多维的API缺陷是如何被添加到网络中的,我们必须把它分解成各个组成部分。让我们从启用调试功能的问题开始。调试是一个有用的工具,它可以帮助开发者弄清楚为什么应用程序不能正确执行或出现错误。启用调试功能后,错误和异常会生成详细的错误页面,这样开发人员就可以看到出错的地方并解决问题。当一个应用程序仍在开发中时,将其激活是完全可以的。
然而,大多数框架都有关于在生产环境中运行调试模式的警告,这是有原因的,可能就在激活调试的代码中。比如说。
# SECURITY WARNING: don't run with debug turned on in production!
DEBUG = True
在这个例子中,调试已经被激活。当出现异常时,Django应用程序将生成详细的错误页面。如果这是在生产环境中进行的,那么对手就可以接触到这些错误页面,其中包括关于环境的元数据信息。尽管大多数框架默认关闭了调试功能,但如果在漫长的开发过程中激活了调试功能,很容易忘记将其重新关闭。那么当应用程序转移到生产环境时,它就为攻击者提供了大量关于如何破坏应用程序,甚至是整个服务器或网络的信息。
虽然启用调试模式大多是一个独立的问题,但不适当的权限和禁用的安全功能漏洞往往会一起发挥作用。例如,在OWASP提供的一个真实场景中,一个攻击者使用搜索引擎找到了一个意外连接到互联网的数据库。因为这个流行的数据库管理系统使用的是其默认配置,认证被禁用。因此,通过结合不当的权限和禁用的安全功能漏洞,攻击者获得了对数百万条记录的访问权,其中包括PII、个人喜好和认证数据。
消除禁用的安全功能/启用的调试功能/不当的权限漏洞
在消除这个漏洞方面,你可能需要双管齐下。要消除问题的启用调试部分,只需在开发过程中增加一个检查,以确保在将API或应用程序转移到生产环境之前禁用调试。从我们的例子来看,这样做的正确命令如下。
# SECURITY WARNING: don't run with debug turned on in production!
DEBUG = False
现在,Django应用程序的调试功能被禁用,DEBUG标志被配置为False。没有错误页面会被生成以应对错误。如果对手仍然获得了对错误页面的访问,它们不会包含任何有用的元数据,也不会对应用程序构成风险。
消除被禁用的安全功能和不适当的权限漏洞要困难一些,因为它们可能包含了广泛的具体漏洞。阻止它们的最好方法是开发一个标准的、可重复的流程,以便快速、方便地将锁定的资产部署到生产环境中。
即使如此,你也应该创建一个流程,对协调文件、API组件和云服务(如Amazon S3桶的权限)进行不断的审查和更新。这种审查也应该随着时间的推移对整个环境的安全设置的整体有效性进行评级,以确保组织一直在改进其API安全。
请查看 Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试一下 Secure Code Warrior 培训平台的演示,以保持你所有网络安全技能的磨练和更新。
目录
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示下载入门资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
