更新: 21 个文件 - 2026-03-17 00:00:00

04-server-security/misconfiguration/tools/README.md

@@ -1,5 +1,22 @@
 # 错误配置工具说明
 
-> `LAB NOTE` | `规划中`
+> `LAB ONLY` | `AUTHORIZED TARGETS ONLY`
 
-该目录后续用于默认配置、目录暴露、调试接口和信任边界误配的辅助检查脚本。
+## 工具
+
+- [misconfig-lab.py](/Users/x/websafe/04-server-security/misconfiguration/tools/misconfig-lab.py)
+  - 用途: 默认页面、调试接口、目录暴露、管理端口和危险头部的最小化验证
+  - 目标范围: `lab-local`, `lab-public`, `authorized-third-party`
+  - 允许公网验证: `yes`, 但必须限定到已授权单目标
+  - 风险: 低，只做固定路径的 GET 检查
+  - 不适用: 未授权站点目录枚举、批量互联网画像、DoS/高频探测
+
+## 示例
+
+```bash
+python3 /Users/x/websafe/04-server-security/misconfiguration/tools/misconfig-lab.py \
+  --target http://127.0.0.1:18086/ \
+  --ack-authorized \
+  --format json \
+  --evidence-dir /tmp/websafe-misconfig-evidence
+```