Web 应用的一个常见错误配置就是一些 Web 管理站点对整个互联网都可见。这看起来并不是个大问题,但是我们应该知道,管理员登录页面更容易吸引攻击者,因为它可以用于获得高级权限等级,并且任何 CMS、数据或者站点管理工具都存在已知的常用默认密码列表。所以,我们强烈推荐不要把这些管理站点暴露给外部,并且尽可能移除它们。
自定义错误页面的使用有助于安全准备,因为 Web 服务器和应用中的默认的错误信息展示太多的信息(从攻击者角度),它们关于错误、所使用的编程语言、栈回溯、所使用的数据库、操作系统以及其它。这些信息不应该暴露,因为它会帮助我们理解应用如何构建,并且提供所使用软件的版本和名称。攻击者通过这些信息就可以搜索已知漏洞,并构造更加有效的攻击过程。