← 回到練習列表 加入 LINE 社群
Day 27

Day 27|Security Misconfiguration 安全性錯誤設定

昨日複習

Day 26|Open Redirect Impact 開放重新導向的影響

Attackers may abuse the redirect feature to send users to a fake login page.

正確答案 A. 攻擊者可能濫用重新導向功能,將使用者送到假的登入頁面

這句在描述:Open Redirect Impact(開放重新導向的影響)

看完整 Day 26 →

今日句子

The server exposes a default configuration page that should not be publicly accessible.

中文意思

伺服器暴露了一個不應該公開存取的預設設定頁面。

這句在說什麼資安問題

Security Misconfiguration(安全性錯誤設定)

這句描述的是 Security Misconfiguration(安全性錯誤設定)。問題不是出在程式碼邏輯,而是系統或服務安裝後沒有把預設設定調整好,導致管理介面、除錯頁面、設定頁面或敏感資訊被公開暴露。

  • Apache Tomcat 預設的 /manager 管理介面未設定密碼就公開在網路上
  • Elasticsearch 未設定驗證,任何人都可以查詢資料庫內容
  • 除錯模式(debug mode)在正式環境未關閉,錯誤頁面暴露 stack trace 與系統路徑
  • 雲端 S3 bucket 設為公開讀取,導致大量敏感資料外洩

重點單字

英文中文
server 伺服器
exposes 暴露
default configuration page 預設設定頁面
should not be 不應該
publicly accessible 可被公開存取

練習題

The admin console is accessible from the Internet without any IP restriction.

ASecurity Misconfiguration
BSQL Injection
CCross-Site Scripting
DCSRF
💡 admin console accessible from the Internet without any IP restriction(管理控制台可從網際網路存取,且沒有 IP 限制)是 Security Misconfiguration 的典型案例:這不是程式邏輯問題,而是存取控制設定沒有做好,應該只開放給內部 IP 的管理介面卻暴露在公網上。