错误配置工具说明
LAB ONLY|AUTHORIZED TARGETS ONLY
工具
- misconfig-lab.py
- 用途: 默认页面、调试接口、目录暴露、管理端口和危险头部的最小化验证
- 目标范围:
lab-local,lab-public,authorized-third-party - 允许公网验证:
yes, 但必须限定到已授权单目标 - 风险: 低,只做固定路径的 GET 检查
- 不适用: 未授权站点目录枚举、批量互联网画像、DoS/高频探测
示例
python3 /Users/x/websafe/04-server-security/misconfiguration/tools/misconfig-lab.py \
--target http://127.0.0.1:18086/ \
--ack-authorized \
--format json \
--evidence-dir /tmp/websafe-misconfig-evidence