https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/README

4.2.1 Test Network Infrastructure Configuration

Test Network Infrastructure Configuration

• Known Server Vulnerabilities : 好像沒啥重點。

• Administrative Tools : 我們大部份的 web server 都需要使用很多管理工具來維護它，所以這裡主要是說想辦法知道用了那些管理工具，然後再找這些工具的洞。

4.2.2 Configuration and Deployment Management Testing ( 這章我覺得重要，Log 很常會想看啥就儲啥 )

Test Application Platform Configuration

這一章節主要測的重點如下 :

• 確保 default 和已知的敏感資訊已被移除。

• 驗證 production 環境不會有那種 debug 模式、logg 輸出與不必要的敏感資訊。

• 驗證設置的 production 日誌記錄，有沒有記錄了敏感的資料

其中 log 的部份我想多提一下，它在文章有列出那些是不應該被輸出的。

• Debug information

• Stack traces

• Usernames

• System component names

• Internal IP addresses

• Less sensitive personal data (e.g. email addresses, postal addresses and telephone numbers associated with named individuals)

• Business data

然後還有列出被認為是 sensitive 資訊的有 :

• Application source code

• Session identification values

• Access tokens

• Sensitive personal data and some forms of personally identifiable information (PII)

• Authentication passwords

• Database connection strings

• Encryption keys

• Bank account or payment card holder data

• Data of a higher security classification than the logging system is allowed to store

• Commercially-sensitive information

• Information it is illegal to collect in the relevant jurisdiction

• Information a user has opted out of collection, or not consented to e.g. use of do not track, or where consent to collect has expired

4.2.3 Configuration and Deployment Management Testing

Test File Extensions Handling for Sensitive Information

這個主要是想測試 :

• 用工具來找可能敏感的副檔名，例如 .config、.xml、.xls、.doc 這些都會知道不少資訊。

• 驗證用已知的 system framework 漏洞，來檢查是否還可以進去。

這裡有列出一下敏感的副檔名 :

• .asa

• .inc

• .config

• .zip : 壓縮的系列都算

• .txt

• .pdf.doc.xlsx

• .bak

然後工具它叫我們 google web mirroring tools

4.2.4 Review Old Backup and Unreferenced Files for Sensitive Information

Review Old Backup and Unreferenced Files for Sensitive Information

就是要檢查放在你 web 的檔案。

4.2.5 Enumerate Infrastructure and Application Admin Interfaces

Enumerate Infrastructure and Application Admin Interfaces

主要是測試的目的為 :

• 找出系統中隱藏的管理員的 inteface 與功能

每一個 web framework 都有他們一些預設的 admin page 與 path 例如，這些就都可以是洞。

WebSphere:

/admin
/admin-authz.xml
/admin.conf
/admin.passwd
/admin/*
/admin/logon.jsp
/admin/secure/logon.jsp

PHP:

/phpinfo
/phpmyadmin/
/phpMyAdmin/
/mysqladmin/
/MySQLadmin
/MySQLAdmin
/login.php
/logon.php
/xmlrpc.php
/dbadmin

FrontPage:

/admin.dll
/admin.exe
/administrators.pwd
/author.dll
/author.exe
/author.log
/authors.pwd
/cgi-bin

WebLogic:

/AdminCaptureRootCA
/AdminClients
/AdminConnections
/AdminEvents
/AdminJDBC
/AdminLicense
/AdminMain
/AdminProps
/AdminRealm
/AdminThreads

WordPress:

wp-admin/
wp-admin/about.php
wp-admin/admin-ajax.php
wp-admin/admin-db.php
wp-admin/admin-footer.php
wp-admin/admin-functions.php
wp-admin/admin-header.php