← CSRF и защита токенамиСимметричное и асимметрично… →

Небезопасная конфигурация и утечки данных

Часто взлом начинается не с хитрого эксплойта, а с панели администратора, оставленной с паролем admin/admin.

Небезопасная конфигурация — уязвимость не в коде, а в настройках: значения по умолчанию, лишние открытые сервисы, избыточные сообщения об ошибках.

Типичные ошибки конфигурации

  • Пароли по умолчанию. Базы данных, роутеры, админ-панели часто идут с известным логином и паролем. Их забывают сменить.
  • Открытые наружу сервисы. База данных, доступная из интернета без пароля, — частая причина массовых утечек.
  • Подробные ошибки на проде. Стектрейсы и SQL-запросы в ответе подсказывают злоумышленнику внутреннее устройство.
  • Включённый debug-режим. На проде он раскрывает переменные окружения, пути и иногда позволяет выполнять код.
  • Лишние эндпоинты и панели. Тестовые страницы, документация API, статус-страницы, доступные всем.

Принцип минимальной поверхности атаки

Чем меньше открыто наружу, тем меньше можно атаковать. Поверхность атаки — совокупность всех точек, через которые можно попытаться проникнуть. Уменьшать её — значит выключать ненужное: закрывать порты, удалять неиспользуемые сервисы, отключать debug, скрывать лишние заголовки. Включено должно быть только то, что действительно нужно.

Безопасные сообщения об ошибках

Пользователю — короткое нейтральное сообщение, в лог сервера — подробности. Сравните два ответа на сбой:

Плохо (пользователю)Хорошо (пользователю)
SQL error: column "passwrd" — таблица users, строка 42Что-то пошло не так. Попробуйте позже.

Принцип «не раскрывай лишнего» касается и формы входа: на неверный логин и на неверный пароль отвечают одинаково («неверные данные»), иначе по разнице ответов можно понять, какие логины существуют.

Утечки через метаданные и заголовки

Иногда система сама выдаёт лишнее: заголовок с точной версией сервера и фреймворка подсказывает, какие известные уязвимости пробовать. Скрывать версии — недорогая мера, поднимающая планку для атакующего.

Конфигурация как код

Настройки безопасности легко «расползаются» между окружениями: на тесте включили отладку и забыли выключить на проде. Поэтому конфигурацию держат в коде и под контролем версий, а различия между средами — минимальными и явными. Хороший признак зрелости — единый чек-лист безопасной конфигурации перед каждым релизом.

Мини-чек-лист безопасной конфигурации

  • Сменены все пароли по умолчанию.
  • Debug-режим и подробные ошибки выключены на проде.
  • Базы и внутренние сервисы недоступны из интернета напрямую.
  • Открыты только нужные порты и эндпоинты.
  • Сообщения об ошибках нейтральны для пользователя, детали — только в логах.

Итог

  • Многие утечки — следствие настроек, а не дыр в коде.
  • Минимизируйте поверхность атаки: выключайте всё лишнее.
  • Пользователю — нейтральные ошибки, детали — в серверный лог.
  • Держите конфигурацию под контролем версий и проверяйте по чек-листу перед релизом.
Проверьте себя
1. Что относится к небезопасной конфигурации?
AИспользование параметризованных запросов
BОставленный пароль по умолчанию на админ-панели
CЭкранирование вывода
DХэширование паролей с солью
2. Что значит уменьшать поверхность атаки?
AДобавлять как можно больше функций
BВыключать и закрывать всё, что не нужно наружу
CШифровать пароли дважды
DЛогировать меньше событий
3. Почему на неверный логин и неверный пароль отвечают одинаково?
AТак быстрее работает сервер
BЧтобы по разнице ответов нельзя было определить существующие логины
CЭто требование HTTPS
DЧтобы сократить код
4. Куда должны попадать подробности ошибки на проде?
AВ ответ пользователю целиком
BВ серверный лог, а пользователю — нейтральное сообщение
CВ URL запроса
DВ заголовок ответа
Поддержать проект