نادرست بودن امنیت، شماره 6 در OWASP فعلی است که در ده مورد مهمترین خطرات امنیت برنامه کاربردی وب است. misconfiguration می تواند شامل هر دو خطا در نصب امنیت و عدم انجام کامل نصب کنترل های امنیتی موجود باشد. خطای امنیتی، یک عنصر آگاه از OWASP Top 10، خطرات و راهکارها گزارش یک گزارش آوریل 2018 از آی بی ام، برخی تغییرات جالب در روند امنیتی در سال 2017 را ذکر کرد. یکی از نکات کلیدی، افزایش سرعت افزایش زیرساخت های ابر ناکافی بود. این گزارش تخمین زده است که نقض مربوط به پیکربندی بد، 424 درصد افزایش یافته است که تقریبا 70 درصد از پرونده های خطرناک را در طول سال به خود اختصاص داده است. در حالیکه امنیت داده ها در حال افزایش است پیچیده تر و بهترین شیوه ها برای جلوگیری از نقص ها، بیشتر تصحیح می شود، خطاهای ساده ی انسانی تبدیل به یک مشکل بزرگتر و بزرگتر می شوند. این خطاهای انسانی منجر به تصحیح خطای امنیتی شده است، رتبه 6 را در لیست لیست خطرات امنیتی برنامه های OWASP در سال 2017 نشان می دهد. آی بی ام گزارش می دهد که نقض مربوط به پیکربندی بد در سال 2018 424 درصد افزایش یافته است که تقریبا 70 درصد از پرونده های خطرناک را در طول سال به خود اختصاص داده است. خط مشی خطای امنیتی چیست؟ امنیت نرم افزار به ندرت پیکربندی می تواند در بسیاری از انواع مختلف صورت بگیرد. misconfigurations می تواند در کد اصلی برنامه نویس، در کد ویژگی ها و توابع پیش ساخته و یا از طریق API رخ دهد. آنها می توانند در برنامه خود، در سرورها و پایگاه های داده استفاده شده توسط برنامه، یا در منابع استفاده شده در طول روند توسعه ظاهر شوند. هر سطحی از یک پشته برنامه کاربردی سازمان می تواند یک نقص پیکربندی را آشکار سازد و در بیشتر لایه ها احتمال اشتباهی که منجر به آسیب پذیری می شود، بیشتر است. برای مثال، فایروالها توسط کاربران خود غالبا با اشتباه تنظیم می شوند. خط مشی ها می تواند بیش از حد گسترده باشد، به طور موثر از شبکه به طور دائم در معرض قرار. سیستم های تست ممکن است به درستی از سیستم تولید فایروال باشد؛ و اصل اصلی حداقل امتیاز، همیشه اجرا نمی شود. به عنوان یک برنامه کاربردی در محدوده گسترش می یابد، تنظیمات امنیتی سخت و موثر تر می شود. اگر نرم افزار شامل ویژگی های غیر ضروری و یا استفاده نشده باشد، این مشکل بزرگتر می شود. این ممکن است توسط چیزهایی مانند پورت های غیر ضروری که از چرخه توسعه فعال می شوند، ایجاد شود، به طور پیش فرض به حساب نمی آید به درستی حذف و غیره. اگر این ویژگی های استفاده نشده باقی بمانند، احتمالا آنها نادیده گرفته می شوند و یا حداقل به طور ضعیف نگهداری می شوند، که باعث می شود مهاجمان بیشترین آسیب پذیری را کشف کنند. آسیب پذیری های امنیتی می تواند از مکان های غیر منتظره در معرض قرار گیرد. پیام های خطا ممکن است حاوی سرنخ هایی برای مهاجمان باشند اگر آنها به درستی انجام می شوند. کد های مخفی و برنامه های کاربردی نمونه از فرایند توسعه ممکن است شامل آسیب پذیری های شناخته شده ای باشد که مهاجمان اجازه دسترسی به سرور برنامه را می دهند. هنگامی که به درستی پیکربندی نشده است، اطلاعات خطایابی مانند این پیام خطا و ردیابی پشته دقیق، حیاتی برای توسعه دهنده، می تواند سلاح در دست مهاجم تبدیل شود. با این حال، با اتخاذ گزینه های ذخیره سازی ابر افزایش یافته است، تنظیمات امنیتی ساده تر اما ویرانگرانه به مرحله ی مرکز تبدیل شده است: عدم قفل کردن دسترسی به داده های ذخیره شده در دستگاه های ذخیره سازی اینترنتی. به نظر می رسد مردم تصور می کنند که هر شخص ثالثی که درگیر آن است امنیت را فراهم می کند - که به طور کلی درست نیست. در سال 2017، Accenture 137 گیگا بایت داده، از جمله 40،000 رمز عبور ساده، رمزهای عبور هشدار، کلید های دسترسی برای پلتفرم مدیریت زیرساخت ابر ENStratus، اطلاعات ایمیل و اطلاعات مربوط به پایگاه داده ASGARD شرکت مشاوره ای که در سطل AWS S3 قرار گرفته است، 137 گیگا بایت داده است. همچنین در سال 2017، Viacom اطلاعات شرکت حساس را که در سطل S3 قرار دارد، از جمله رمزهای عبور و آشکار برای سرورهای Viacom را ترک کرد. کلید دسترسی و کلید مخفی برای حساب AWS شرکت به طور مشابه در مخزن ذخیره شده است. این مشکل نادرست نیز ممکن است در سرورهای خصوصی رخ دهد که از نرم افزار شخص ثالث استفاده می کنند. در اوایل سال جاری، Broker Data Exactis یک پایگاه اطلاعاتی گسترده از اطلاعات شخصی را در مورد 218 میلیون نفر، 110 میلیون خانوار و 21 میلیون شرکت به نمایش گذاشت. این پایگاه داده توسط Elasticsearch پیشگام بود، اما هیچ کنترل دسترسی مستقر نشد. شرکت ها باید بدانند که همیشه مسئولیت داده های خود را در هر کجا و در هر صورت ذخیره می کنند. راه حل این نوع تصحیح اشتباه نسبتا ساده است - شرکت ها باید به رسمیت شناخته شوند که همیشه مسئولیت هرکدام از داده ها را دارند و با این حال ذخیره می شوند. این مسئولیت خود را برای تأمین امنیت آن - اغلب با کنترل های احراز هویت ارائه شده توسط شخص ثالث است. تأثیر امنیت نادرست امنیتی امنیت ناسازگار می تواند ناشی از نظارت های بسیار ساده باشد اما می تواند یک برنامه را برای مهاجمان باز کند. در برخی موارد، تنظیمات اشتباه می تواند داده ها را بدون نیاز به یک حمله فعال عامل مخرب در معرض قرار دهد. در آوریل 2014، براون کراسب، روزنامه نگار امنیتی، یک آسیب پذیری را در وب سایت شرکت MBIA، بزرگترین شرکت بیمه بنیاد آمریکا، گزارش کرد. به دلیل یک سرور پایگاه داده غلط تنظیم شده، موتورهای جستجو صدها صفحه از کاربر فعال را نشان داد
