A05:2021 - أخطاء التكوين الأمني

تمثل هذه الفئة الواسعة الثغرات الناتجة عن ضعف تحصين النظام، أو الأنظمة غير المحدثة، أو تفعيل ميزات غير ضرورية.

أخطاء التكوين الشائعة

1. بيانات الاعتماد الافتراضية: ترك أسماء المستخدمين وكلمات المرور الافتراضية مفعلة (مثلاً 'admin'/'admin').
2. عرض محتويات المجلدات (Directory Listing): سماح خوادم الويب للمستخدمين بطريق الخطأ بتصفح هيكل المجلدات بالكامل (كشف ملفات التكوين أو الكود المصدري أو النسخ الاحتياطية).
3. خدمات غير ضرورية: تشغيل خدمات غير أساسية (مثل Telnet أو FTP) على خادم الويب.
4. رسائل خطأ مسهبة: عرض معلومات نظام حساسة (سلاسل اتصال قاعدة البيانات، مسارات الملفات) للمستخدم أثناء حدوث خطأ في التطبيق.
5. أنظمة غير محدثة: تشغيل برمجيات خادم ويب قديمة (Apache, Nginx) أو إصدارات أنظمة تشغيل قديمة.

الدفاع: طبق عملية تحصين صارمة (مغطاة في الدرس 51)، واستخدم إدارة التكوين الآلية، وتأكد من تقييد الملفات الحساسة بشكل صحيح بواسطة صلاحيات الملفات.