当安全性设置被定义，实施和维护为默认值时，就会出现安全性配置错误。良好的安全性要求为应用程序，Web服务器，数据库服务器和平台定义和部署安全配置。拥有最新的软件同样重要。

例

安全配置错误的一些经典示例如下-

• 如果未在服务器上禁用目录列表，并且如果攻击者发现了目录列表，则攻击者可以简单地列出目录以查找任何文件并执行该文件。也有可能获得包含所有自定义代码的实际代码库，然后在应用程序中发现严重的缺陷。

• 应用服务器的配置允许将堆栈跟踪返回给用户，从而可能暴露出潜在的缺陷。攻击者获取了错误消息所提供的足以让他们渗透的额外信息。

• 应用服务器通常随附示例，这些示例应用的安全性不高。如果不从生产服务器中删除服务器，则会导致服务器性能下降。

动手

步骤1-启动Webgoat并导航到不安全的配置部分，让我们尝试解决这一挑战。下面提供了相同的快照-

步骤2-我们可以尝试尽可能多的选择。我们需要找到配置文件的URL，并且我们知道开发人员会遵循某种配置文件的命名约定。可以是下面列出的任何内容。通常通过BRUTE力技术完成。

• web.config
• 配置
• appname.config
• conf

步骤3-尝试各种选项后，我们发现“ http：// localhost：8080 / WebGoat / conf ”成功。如果尝试成功，将显示以下页面-

预防机制

• 在开发，质量保证和生产环境等所有环境中，均应使用每个环境中使用的不同密码(不能轻易破解)进行相同配置。

• 确保采用强大的应用程序体系结构，以在组件之间提供有效，安全的隔离。

• 通过运行自动扫描并定期进行审核，它还可以最大程度地降低这种攻击的可能性。