# 错误配置工具说明

> `LAB ONLY` | `AUTHORIZED TARGETS ONLY`

## 工具

- [misconfig-lab.py](/Users/x/websafe/04-server-security/misconfiguration/tools/misconfig-lab.py)
  - 用途: 默认页面、调试接口、目录暴露、管理端口和危险头部的最小化验证
  - 目标范围: `lab-local`, `lab-public`, `authorized-third-party`
  - 允许公网验证: `yes`, 但必须限定到已授权单目标
  - 风险: 低，只做固定路径的 GET 检查
  - 不适用: 未授权站点目录枚举、批量互联网画像、DoS/高频探测

## 示例

```bash
python3 /Users/x/websafe/04-server-security/misconfiguration/tools/misconfig-lab.py \
  --target http://127.0.0.1:18086/ \
  --ack-authorized \
  --format json \
  --evidence-dir /tmp/websafe-misconfig-evidence
```