一、安全配置错误的概念
Config中的链接字符串以及用户信息,邮件,数据存储信息都需要加以保护,甚至需要进行加密,如果没有进行保护就直接可以查看,那么很容易造成严重的安全问题,这就是安全配置错误。
二、安全配置错误的实例
数据库的帐号是不是默认为“admin”,密码(还有端口号)是不是直接写在配置文件里而没有进行加密,这些都是属于安全配置错误,会对应用的安全问题造成威胁。
三、测试对象
多级目录地址
网站上报错的页面
四、安全配置错误的防御措施
配置所有的安全机制
关掉所有不使用的服务
设置角色权限帐号
使用日志和警报
所有错误只显示友好信息,不显示任何与实际错误相关的信息