6.不安全的配置管理

不安全的配置管理（Security Misconfiguration），指由于沒有Web應(yīng)用程序及部署環(huán)境進(jìn)行安全的配置，導(dǎo)致攻擊者通過默認(rèn)帳戶、測試網(wǎng)頁、系統(tǒng)漏洞、未被保護(hù)的文件和目錄和不必要的服務(wù)等，以獲得對系統(tǒng)未授權(quán)的訪問或了解。

不安全的配置管理可以發(fā)生在一個(gè)Web應(yīng)用系統(tǒng)的任何層面，包括操作系統(tǒng)、Web服務(wù)器、應(yīng)用服務(wù)器、框架和自定義代碼等方面，這些層面的不正確配置和部署，則可禽邑導(dǎo)致攻擊者的惡意攻擊，使得攻擊者能訪問一些未授權(quán)的系統(tǒng)數(shù)據(jù)或功能，甚至?xí)?dǎo)致系統(tǒng)完全被控制。