10大最重要的Web安全风险之六--A6-安全误配置

OWASP TOP10

A1-注入   

A2-跨站脚本（XSS）  

A3-错误的认证和会话管理 

A4-不安全的直接对象引用  

A5-伪造跨站请求（CSRF）     -- Cross-Site Request Forgery

A6-安全性误配置

A8-未验证的重定向和传递 

A9-不安全的加密存储   

A10-不足的传输层保护

排在第六位的是不当的安全配置，事实上，这个问题可能存在于Web应用的各个层次，譬如平台、Web服务器、应用服务器，系统框架，甚至是代码中。开发人员须要和网络管理人员共同确保全部层次都合理配置，有不少自动化的工具能够用于查找是否缺乏补丁，错误的安全配置，缺省用户是否存在，没必要要的服务等等。

这个漏洞每每使得攻击者可以访问未被受权的系统数据和功能，甚至有时，会致使整个系统被破坏。

其实说这个漏洞该怎么防范并无什么实际的措施，惟一的方法就是尽量的对你的系统的全部方面都作好安全配置。

         验证你的系统的安全配置

         可以使用自动化的安全配置向导；

         必须覆盖整个平台和系统；

         对全部组件都必须保证安装了最新的补丁；

         完善分析变动带来的安全影响

         对全部你作的安全配置进行记录

         使用自动化扫描工具对你的系统进行验证。