專業理論深解：

攻擊面的擴展： 此類風險將我的視角從應用程式原始碼本身，擴展到其運行的整個技術堆疊，包括：Web 伺服器、應用伺服器、資料庫、框架、相依函式庫、以及雲端基礎設施。

資訊洩漏 (Information Leakage)：

詳細的錯誤訊息： 異常堆疊追蹤 (Stack Traces)、資料庫錯誤訊息、內部檔案路徑等，會洩漏伺服器的內部狀態、使用的技術和潛在漏洞。生產環境應配置統一、通用的錯誤頁面。

伺服器標頭 (Server Headers)： Server: Apache/2.4.29 (Ubuntu)、X-Powered-By: PHP/7.2.24 等標頭會直接暴露軟體版本，攻擊者可利用此資訊查找對應的公開漏洞 (CVE)。

不安全的預設配置： 許多軟體和框架為了易用性而採用了不安全的預設值。例如，預設的管理員帳號密碼 (admin/admin)、開啟的目錄列表功能、預設安裝的範例應用程式等。

雲端安全配置錯誤： 在 AWS, GCP, Azure 等雲端環境中，這是最常見且危害巨大的風險。

公開的儲存服務： 如 AWS S3 儲存桶的權限被錯誤地設置為公開讀取/寫入。

過於寬鬆的 IAM 策略： 賦予應用程式或用戶不必要的權限，違反了最小權限原則。

相依性管理 (SCA - Software Composition Analysis)： 現代應用大量依賴第三方函式庫。OWASP Top 10 A06:2021「Vulnerable and Outdated Components」強調了持續掃描並更新這些相依性的重要性。一個函式庫的漏洞，就等於我的應用程式存在漏洞。

與我的 Burp Suite / DVWA 實戰連結： 我要學會使用 Burp 主動和被動掃描來識別伺服器標頭和洩漏資訊的錯誤頁面。在 DVWA 中，我可以嘗試訪問不存在的頁面來觸發錯誤。在真實測試中，我會使用 Nmap 等工具掃描開放的埠號，並利用 Google Hacking (inurl, filetype) 來尋找暴露的設定檔或管理頁面。