Security Misconfiguration
主要是指server設定類的弱點,這類弱點就是設定沒有設好,導致出現安全隱憂
只要調整設定文件就可以解決了
在網站方面,最常見的設定失誤應該就是網站的port 80未被關閉,或者允許client端可以直接使用port 80 連線而未設定redirect讓使用者轉導到port 443,導致使用者使用未經ssl加密的http協定傳輸,會有資訊被中間人攔截的風險。
另一個常見的設定失誤就是網站的後台(例如tomcat的admin console)未更改預設密碼以及開放給任意客戶端連線
就算密碼有變更了,也應避免外部人士可以連線,避免可能被暴力破解或密碼外洩後被人利用的風險。