A6 - Security Misconfiguration 不安全的組態設定

通常原因都在於系統管理不當所造成的安全性漏洞。如下例子：

• 系統啟用或安裝了非必要功能，例如：非必要的端口、服務、網頁、帳戶或權限等。
• 系統預設帳密未更改。
• 偵錯模式（Debug）未關閉，導致錯誤訊息中包含的敏感性個資外流。
• 對於更新的系統，禁用或不安全的配置最新安全功能。
• Server、Framework（如：Struts、Spring、ASP.NET）、library、DB 等沒有進行安全配置。
• 未定期進行安全更新的系統。

舉例

情境一

假設我從 Github 上 Fork 了一份專案，然後將這份專案架設起來，並將修改後的專案重新上傳至 Github 做備份，這時候我們會遇到幾個問題：

1. 未更改預設的帳密，可能會導致敏感訊息外流。
   • 例如：https://www.ithome.com.tw/news/128707
2. 上傳至 Github 時，未設置 .gitignore 來忽視特定的檔案，例如資料庫的存取密碼等。
3. 使用不安全的HTTP協定

情境二 - 雲端共享權限問題

例如很多學校都會有提供學生免費的 G Suite，同學們當然也很善用其中的無限量的 Google Drive，塞了一堆的影片（恩？。但是往往有些同學並不會注意到雲端共享的權限管理，因此我 ...

1. 將搜尋列的檔案位置改成 在 XXX 中的所有人皆可檢視 或在搜尋列打上 source:domain
   

2. 我順便來看看有甚麼影片在上面，結果發現了一堆免費的電影餒 ~

3. 咦 ? 這是甚麼 ? (喵