10大最重要的Web安全風險之六--A6-安全誤配置

OWASP TOP10

A1-注入   

A2-跨站腳本（XSS）  

A3-錯誤的認證和會話管理 

A4-不安全的直接對象引用  

A5-僞造跨站請求（CSRF）     -- Cross-Site Request Forgery

A6-安全性誤配置

A8-未驗證的重定向和傳遞 

A9-不安全的加密存儲   

A10-不足的傳輸層保護

排在第六位的是不當的安全配置，事實上，這個問題可能存在於Web應用的各個層次，譬如平臺、Web服務器、應用服務器，系統框架，甚至是代碼中。開發人員須要和網絡管理人員共同確保全部層次都合理配置，有不少自動化的工具能夠用於查找是否缺乏補丁，錯誤的安全配置，缺省用戶是否存在，沒必要要的服務等等。

這個漏洞每每使得攻擊者可以訪問未被受權的系統數據和功能，甚至有時，會致使整個系統被破壞。

其實說這個漏洞該怎麼防範並無什麼實際的措施，惟一的方法就是儘量的對你的系統的全部方面都作好安全配置。

         驗證你的系統的安全配置

         可以使用自動化的安全配置嚮導；

         必須覆蓋整個平臺和系統；

         對全部組件都必須保證安裝了最新的補丁；

         完善分析變動帶來的安全影響

         對全部你作的安全配置進行記錄

         使用自動化掃描工具對你的系統進行驗證。