A02:2025 – Configurare inadecvată a securității
Security Misconfiguration
Configurare inadecvată a securității apare atunci când un sistem, o aplicație sau un serviciu cloud sunt configurate incorect din perspectiva securității, creând vulnerabilități. Se concentrează pe erorile de configurare din întreaga stivă a aplicației.
A02:2025 a urcat de la poziția #5 în 2021 la #2 în 2025. 100% din aplicațiile testate aveau o formă de misconfigurare, cu o rată medie de incidență de 3,00%. Misconfigurațiile sunt mai frecvente în datele actuale, pe măsură ce ingineria software crește cantitatea de comportament al aplicației bazat pe configurații.
1. Aplicații sample neomoloase
Serverul de aplicații vine cu aplicații sample care nu sunt îndepărtate din producție. De exemplu, o consolă de administrare cu conturi implicite care nu au fost schimbate.
2. Listarea directoarelor activată
Serverul web permite listarea directoarele, permițând unui atacator să descopere și să descărce fișiere sensibile, să decompileze cod Java sau să reverse-engineer-eze aplicația.
3. Configurări de cloud nesigure
Bucket-uri S3, containere Azure sau alte servicii cloud configurate accidental cu permisiuni publice de citire/scriere, expunând date sensibile.
4. Mesaje de eroare care expun informații
Mesajele de eroare conțin stack traces, informații despre versiuni software, căi de fișiere sau alte detalii care pot ajuta un atacator.
5. Permisiuni incorecte la resursele critice
Fișiere cu metadate sensibile (ex: .git, .env, copii de backup) sunt accesibile direct prin web root.
6. S3 Bucket Public Exposure
S3 Bucket: my-app-backups (ACL: PublicRead)
Bucket-ul AWS S3 cu backup-uri de baze de date și fișiere sensibile este configurat cu permisiuni publice. Oricine poate descărca nenecesar date de produc ție.
7. Certificate și Credențiale Expirate
Certificate SSL/TLS expirate, API keys hardcoded în configurări, sau credențiale din medii vechi lăsate în producție.