5- Mauvaise configuration de sécurité

C'est un type de vulnérabilité qui survient lorsque les paramètres de sécurité sont définis, implémentés et maintenus par défaut ou de manière non sécurisée. Cela peut affecter l’application, le serveur web, le serveur de base de données ou la plateforme.

La mauvaise configuration de sécurité peut entraîner des conséquences graves:

• la divulgation d’informations sensibles
• l’accès non autorisé à des fonctionnalités ou des données, 
• la compromission du système ou du réseau
• la perte de disponibilité.

Pour éviter la mauvaise configuration de sécurité, il faut suivre les bonnes pratiques et les recommandations de sécurité, telles que celles fournies par l’OWASP. Il faut également vérifier régulièrement l’efficacité des configurations et des réglages dans tous les environnements.

Des exemples de mauvaise configuration :

1. laisser un port ouvert qui n’est pas nécessaire tout en y exécutant un logiciel vulnérable. Cela peut permettre à un attaquant de se connecter au système et d’exécuter des commandes malveillantes.
2. laisser les mots de passe par défaut ou très faciles à deviner comme test/test. Cela peut permettre à un attaquant de se connecter à l’application ou à la base de données et d’accéder à des informations confidentielles.
3. laisser des données sensibles exposées sur le cloud, comme des bases de données non sécurisées ou des buckets Amazon S3 ouverts. Cela peut permettre à un attaquant de télécharger ou de modifier les données stockées sur le cloud.