6.不安全的配置管理
不安全的配置管理(Security Misconfiguration),指由于没有Web应用程序及部署环境进行安全的配置,导致攻击者通过默认帐户、测试网页、系统漏洞、未被保护的文件和目录和不必要的服务等,以获得对系统未授权的访问或了解。
不安全的配置管理可以发生在一个Web应用系统的任何层面,包括操作系统、Web服务器、应用服务器、框架和自定义代码等方面,这些层面的不正确配置和部署,则可禽邑导致攻击者的恶意攻击,使得攻击者能访问一些未授权的系统数据或功能,甚至会导致系统完全被控制。