Što je sigurnosna misconfiguracija i kako je izbjegavati?

Question

Accepted Answer

**Sigurnosna misconfiguracija** — nesigurne postavke, standardne vrijednosti ili konfiguracije — jedna je od najčešćih sigurnosnih slabosti (OWASP Top 10 rizik). Uključuje izložene standardne vrijednosti, nepotrebne funkcije, detaljne greške i nedostajuće ojačanje. Izbjegavanje zahtijeva sigurnu, namjernu konfiguraciju.

## Česte misconfiguracije

```text
✗ INSECURE DEFAULTS left unchanged → default passwords, default accounts, sample content
✗ Unnecessary FEATURES/services/ports enabled → larger attack surface
✗ VERBOSE ERRORS in production → stack traces leaking internal details to attackers
✗ Missing SECURITY HEADERS; misconfigured CORS (allow-all); directory listing enabled
✗ Exposed admin/management interfaces or debug endpoints publicly
✗ Cloud misconfigs → public storage buckets, open databases, over-permissive access
✗ Outdated software / unpatched systems; overly permissive file/access permissions
```

## Kako je izbjegavati

```text
✓ SECURE DEFAULTS & HARDENING → change defaults; disable/remove what's not needed;
  follow hardening guides (least functionality)
✓ Don't expose detailed ERRORS in production (generic messages; log details internally)
✓ Secure configuration as CODE (IaC) → consistent, reviewable, repeatable configs
✓ Separate configs per environment; no debug/dev settings in production
✓ Regular CONFIGURATION REVIEWS / scanning (automated config/posture checks)
✓ Keep software PATCHED; apply least privilege to configs and permissions
```

## Zašto je važno

Razumijevanje sigurnosne misconfiguracije i kako je izbjegavati važno je jer je **jedna od najčešćih sigurnosnih slabosti** (OWASP Top 10 rizik), često laka za pronalaženje i iskorištavanje od strane napada, pa je to dragocjeno praktično znanje o sigurnosti.

Misconfiguracija — nesigurne postavke, nepromijenjene standardne vrijednosti ili nepravilne konfiguracije — raširena je jer sustavi imaju mnogo konfiguracijskih točaka, a nesigurne (često standardne) često ostaju neriješene.

Razumijevanje **čestih misconfiguracija** — nepromijenjenih **nesigurnih standardnih vrijednosti** (standardne lozinke, računi), nepotrebno omogućenih funkcija (veća površina napada), **detaljnih grešaka u produkciji** (curenje internih detalja preko praćenja steka), nedostajućih sigurnosnih zaglavlja, pogrešno konfigurirane CORS-a, izloženih admin/debug sučelja, **cloud misconfiguracija** (javno dostupne pohrane, otvorene baze podataka — vodeći uzrok kršenja), i zastarjelog/neažuriranog softvera — pomaže prepoznati širok raspon slabosti u konfiguraciji.

Ove su česte, realne izvore kršenja upravo zato što se lako previde i lako ih pronalaze napada (i automatizirani skeneri).

Razumijevanje **kako je izbjegavati** — korištenje **sigurnih standardnih vrijednosti i ojačanja** (promjena standardnih vrijednosti, onemogućavanje nepotrebnih funkcija, praćenje vodiča ojačanja), neprocurivanje detaljnih grešaka u produkciji, upravljanje **konfiguracijom kao kodom** (za dosljednost i mogućnost pregleda), odvajanje konfiguracija okruženja (bez dev/debug postavki u produkciji), redoviti **pregledi konfiguracije i skeniranje**, i ažuriranje softvera — odražava namjernu, disciplinirano upravljanu konfiguraciju koja sprječava misconfiguraciju.

Budući da je sigurnosna misconfiguracija jedna od najčešćih slabosti (OWASP rizik, laka za pronalaženje i iskorištavanje, uzrok mnogih stvarnih kršenja) i izbjegavanje zahtijeva namjernu sigurnu konfiguraciju (ojačanje, sigurne standardne vrijednosti, config-as-code, pregledi), i budući da je razumijevanje čestih misconfiguracija i kako ih izbjegavati važno za sigurnost, razumijevanje sigurnosne misconfiguracije je dragocjeno, praktično relevantno znanje o sigurnosti — rješavanje raširene, često iskorištavane slabosti, važne za disciplinirano upravljanu konfiguraciju koja sprječava izložene standardne vrijednosti, detaljne greške i cloud misconfiguracije koje često vode do kršenja.