安全错误配置这个术语有点像一个总括，它包括由于应用程序的配置设置而不是坏的代码而引入的常见漏洞。最常见的通常涉及到简单的错误，这些错误可能会给部署了这些错误配置的应用程序的组织带来很大的后果。

一些最常见的安全错误配置包括：在将应用程序部署到生产环境之前没有禁用其调试过程，没有让应用程序自动更新最新的补丁，忘记禁用默认功能，以及其他许多小事，这些都可能在未来带来大麻烦。

对付安全错误配置漏洞的最好方法是在它们被部署到生产环境之前从你的网络中消除它们。

在这一集里，我们将学习。

• 黑客如何发现和利用常见的安全错误配置
• 为什么安全配置不当会带来危险？
• 可以采用的政策和技术来发现和修复安全错误配置。

攻击者是如何利用常见的安全错误配置的？

有很多常见的安全错误配置。最受欢迎的是在黑客社区中众所周知的，并且在寻找漏洞时几乎总是被搜索到。一些最常见的错误配置包括，但不限于。

• 没有禁用具有知名密码的默认账户。
• 在生产中打开调试功能，向用户显示堆栈痕迹或其他错误信息。
• 启用了不必要的或默认的功能，如不必要的端口、服务、页面、账户或权限。
• 不使用安全标头，或使用不安全的标头值。

一些错误的配置是众所周知的，而且很容易被利用。例如，如果启用了默认密码，攻击者只需要输入该密码和默认用户名就可以获得对系统的高级访问。

其他的错误配置需要更多的工作，例如在应用程序部署后，调试功能被保留启用。在这种情况下，攻击者会试图触发一个错误，并记录返回的信息。有了这些数据，他们可以发起高度有针对性的攻击，可能会暴露系统的信息或他们试图窃取的数据的位置。

为什么安全配置错误如此危险？

根据被利用的确切的安全错误配置，损害的范围可以从信息暴露到完全的应用程序或服务器妥协。任何安全错误配置都会在防御中提供一个漏洞，熟练的攻击者可以利用。对于一些漏洞，如启用默认密码，甚至没有经验的黑客也可以利用它们。毕竟，不需要一个天才来查找默认密码并输入它们!

消除安全错误配置所带来的威胁

避免安全错误配置的最好方法是为在组织内部署的所有应用程序和程序定义安全设置。这应该包括禁用不必要的端口，删除应用程序不使用的默认程序和功能，以及禁用或更改所有默认用户和密码。它还应该包括检查和处理常见的错误配置，例如在软件进入生产环境之前总是禁用其调试模式。

一旦定义了这些，就应该建立一个流程，所有的应用程序在部署前都要经过这个流程。理想情况下，应该有一个人负责这个过程，给他足够的权力来执行这个过程，如果出现常见的安全错误配置，也应该承担责任。

关于安全错误配置的更多信息

要进一步阅读，你可以看看OWASP的最常见的安全错误配置列表。你也可以用Secure Code Warrior 平台的免费演示来测试你新发现的防御知识，该平台培训网络安全团队成为最终的网络战士。要了解更多关于击败这个漏洞以及其他威胁的流氓画廊的信息，请访问Secure Code Warrior 博客。

准备好现在就挫败一个安全错误的配置了吗？前往我们的平台，挑战自己 [从这里开始]