安全测试之安全配置错误

一、安全配置错误的概念

Config中的链接字符串以及用户信息，邮件，数据存储信息都需要加以保护，甚至需要进行加密，如果没有进行保护就直接可以查看，那么很容易造成严重的安全问题，这就是安全配置错误。

二、安全配置错误的实例

数据库的帐号是不是默认为“admin”，密码（还有端口号）是不是直接写在配置文件里而没有进行加密，这些都是属于安全配置错误，会对应用的安全问题造成威胁。

三、测试对象

1. 多级目录地址

2. 网站上报错的页面

四、安全配置错误的防御措施

1. 配置所有的安全机制

2. 关掉所有不使用的服务

3. 设置角色权限帐号

4. 使用日志和警报

5. 所有错误只显示友好信息，不显示任何与实际错误相关的信息