Web应用程序的威胁与对策(18)

许多应用程序支持配置界面和功能，以允许操作员和员更改配置参数、更新网站内容并执行常规维护。最危险的配置威胁包括：

对界面的未授权访问 对配置存储区的未授权访问 检索纯文本配置机密 缺少各自的可说明性 越权进程和服务帐户

对界面的未授权访问

管理界面通常通过附加的网页或单独的 Web 应用程序提供，该网页或 Web 应用程序允许管理员、操作员和内容开发人员管理网站内容和配置。这样的管理界面仅限于受限制的和经过授权的用户使用。可以访问配置管理功能的恶意用户可能会破坏网站，访问下游系统和数据库，或终止应用程序操作并破坏配置数据。

防止对管理界面的未授权访问的对策包括：

使管理界面的数量最小化。 使用强身份验证，如使用证书。 使用具有多个看门人的强身份验证。 考虑只支持本地管理。如果远程管理是绝对需要的，因为通过管理界面传递的数据很敏感，需使用加密通道（如带有 VPN

技术或 SSL）。为了进一步减少危险，还要考虑使用 IPSec 策略来将远程管理限制在内部网络中的计算机。

对配置存储区的未授权访问

由于在配置存储区中的数据具有敏感性，所有您应该确保存储区充分安全。

保护配置存储区的对策包括：

在基于文本的配置文件（如 Machine.config 和 Web.config）中配置受限制的 ACL。 在 Web 空间外保存自定义配置存储区。这消除了下载 Web 服务器配置以利用其漏洞的可能性。

检索纯文本配置机密

必须限制对配置存储区的访问。作为一种重要深度防御机制，您应该对敏感数据（如密码和连接字符串）加密。这有助于防止外部攻击者获取敏感的配置数据。它也能防止恶意管理员和内部员工获得敏感的详细信息，如使其可以访问其他系统的数据库连接字符串和帐户凭证。

缺少各自的可说明性

缺少对配置信息更改的审核和记录会威胁到识别更改时间和更改人员的能力。无论是由正直操作员的错误，还是由恶意更改以获取特权访问权而发生中断更改，都必须首先采取操作来更正更改。然后应用预防性措施防止以同一方式引入中断更改。请记住，共享