8.3 错误的配置

这一小节将介绍Web管理员和开发人员由于缺乏意识或者草率所引发的漏洞。

我们在本小节中讨论的一些配置问题通常归类为Web应用/网站管理人员见识上的问题,而另一些则是Web开发人员的责任。两者的界限可能有些模糊——因为Web开发与应用/网站本身的基本结构(例如,文件的放置和访问控制配置)关系紧密,Web开发和管理常常由同一个人负责,对于更大的商用网站,则是同一组织中工作关系密切的人。这种情况造成一种“冲突”效应,在网站/应用中始终存在着对安全工作的松懈。

此外,你所选择的Web平台可能对配置漏洞有很大的影响。我们将在这一小节中讨论ASP.NET ViewState方法的例子,阐述开发环境的选择可能给网站或者应用留下的该平台常见漏洞(尤其在使用默认配置时)。

我们将在本节中介绍如下类型的常见配置漏洞,而不管这些漏洞是由管理员或者开发人员还是其他角色带来的:

·不必要的Web服务器扩展

·信息泄露

·状态管理