Day 27
Day 27|Security Misconfiguration 安全性錯誤設定
昨日複習
Day 26|Open Redirect Impact 開放重新導向的影響
Attackers may abuse the redirect feature to send users to a fake login page.
正確答案 A. 攻擊者可能濫用重新導向功能,將使用者送到假的登入頁面
這句在描述:Open Redirect Impact(開放重新導向的影響)
看完整 Day 26 →今日句子
The server exposes a default configuration page that should not be publicly accessible.
中文意思
伺服器暴露了一個不應該公開存取的預設設定頁面。
這句在說什麼資安問題
Security Misconfiguration(安全性錯誤設定)
這句描述的是 Security Misconfiguration(安全性錯誤設定)。問題不是出在程式碼邏輯,而是系統或服務安裝後沒有把預設設定調整好,導致管理介面、除錯頁面、設定頁面或敏感資訊被公開暴露。
- Apache Tomcat 預設的 /manager 管理介面未設定密碼就公開在網路上
- Elasticsearch 未設定驗證,任何人都可以查詢資料庫內容
- 除錯模式(debug mode)在正式環境未關閉,錯誤頁面暴露 stack trace 與系統路徑
- 雲端 S3 bucket 設為公開讀取,導致大量敏感資料外洩
重點單字
| 英文 | 中文 |
|---|---|
| server | 伺服器 |
| exposes | 暴露 |
| default configuration page | 預設設定頁面 |
| should not be | 不應該 |
| publicly accessible | 可被公開存取 |
練習題
The admin console is accessible from the Internet without any IP restriction.
💡 admin console accessible from the Internet without any IP restriction(管理控制台可從網際網路存取,且沒有 IP 限制)是 Security Misconfiguration 的典型案例:這不是程式邏輯問題,而是存取控制設定沒有做好,應該只開放給內部 IP 的管理介面卻暴露在公網上。