Hvad er sikkerhedsmiskonfiguration, og hvordan undgår du det?

Question

Accepted Answer

**Sikkerhedsmiskonfiguration** — usikre indstillinger, standarder eller konfigurationer — er en af de mest almindelige sikkerhedssvagheder (en OWASP Top 10-risiko). Det omfatter eksponerede standarder, unødvendige funktioner, detaljerede fejlmeldinger og manglende hardening. At undgå det kræver sikker, bevidst konfiguration.

## Almindelige misonfigurationer

```text
✗ INSECURE DEFAULTS left unchanged → default passwords, default accounts, sample content
✗ Unnecessary FEATURES/services/ports enabled → larger attack surface
✗ VERBOSE ERRORS in production → stack traces leaking internal details to attackers
✗ Missing SECURITY HEADERS; misconfigured CORS (allow-all); directory listing enabled
✗ Exposed admin/management interfaces or debug endpoints publicly
✗ Cloud misconfigs → public storage buckets, open databases, over-permissive access
✗ Outdated software / unpatched systems; overly permissive file/access permissions
```

## Hvordan du undgår det

```text
✓ SECURE DEFAULTS & HARDENING → change defaults; disable/remove what's not needed;
  follow hardening guides (least functionality)
✓ Don't expose detailed ERRORS in production (generic messages; log details internally)
✓ Secure configuration as CODE (IaC) → consistent, reviewable, repeatable configs
✓ Separate configs per environment; no debug/dev settings in production
✓ Regular CONFIGURATION REVIEWS / scanning (automated config/posture checks)
✓ Keep software PATCHED; apply least privilege to configs and permissions
```

## Hvorfor det betyder noget

At forstå sikkerhedsmiskonfiguration og hvordan man undgår det, er vigtigt, fordi det er **en af de mest almindelige sikkerhedssvagheder** (en OWASP Top 10-risiko), som ofte er let for angribere at finde og udnytte, så det er værdifuld praktisk sikkerhedsviden.

Miskonfiguration — usikre indstillinger, uændrede standarder eller forkert konfigurerede indstillinger — er udbredt, fordi systemer har mange konfigurationspunkter, og usikre punkter (ofte standarderne) forbliver ofte uadresserede.

At forstå de **almindelige misonfigurationer** — uændrede **usikre standarder** (standardadgangskoder, konti), unødvendigt aktiverede funktioner (større angrebsflade), **detaljerede fejlmeldinger i produktion** (lækage af interne detaljer via staktraceringer), manglende sikkerhedsheadere, fejlkonfigureret CORS, eksponerede admin-/debug-interfaces, **cloud-misonfigurationer** (offentlige lagerbeholdninger, åbne databaser — en vigtig årsag til brud), og forældet/uopdateret software — hjælper med at genkende det brede spektrum af konfigurationssvagheder.

Disse er almindelige, rigtige kilder til brud præcis fordi de er lette at overse og lette for angribere (og automatiserede scannere) at finde.

At forstå **hvordan du undgår det** — ved at bruge **sikre standarder og hardening** (ændring af standarder, deaktivering af unødvendige funktioner, følge hardening-guides), ikke eksponering af detaljerede fejl i produktion, administration af **konfiguration som kode** (for konsistens og gennemsynlighed), adskillelse af miljøkonfigurationer (ingen udviklings-/debug-indstillinger i produktion), regelmæssig **konfigurationskontrol og scanning** og holde software patchet — afspejler den bevidste, disciplinerede konfigurationsstyring, der forhindrer miskonfiguration.

Fordi sikkerhedsmiskonfiguration er en af de mest almindelige svagheder (en OWASP-risiko, let at finde og udnytte, der forårsager mange rigtige brud) og at undgå det kræver bevidst sikker konfiguration (hardening, sikre standarder, config-as-code, kontroller), og fordi det er vigtigt at forstå de almindelige misonfigurationer og hvordan man undgår dem, er forståelse af sikkerhedsmiskonfiguration værdifuld, praktisk relevant sikkerhedsviden — behandling af en udbredt, almindeligt udnyttet svaghed, vigtig for den disciplinerede konfiguration, der forhindrer de eksponerede standarder, detaljerede fejlmeldinger og cloud-misonfigurationer, der ofte fører til brud.