Security misconfiguration การตั้งค่า ค่าเริ่มต้น หรือการกำหนดค่าที่ไม่ปลอดภัย เป็นหนึ่งในจุดอ่อนด้านความปลอดภัยที่พบบ่อยที่สุด (ความเสี่ยงใน OWASP Top 10) ซึ่งรวมถึงค่าเริ่มต้นที่เปิดเผย ฟีเจอร์ที่ไม่จำเป็น error ที่ละเอียดเกินไป และการขาด hardening การหลีกเลี่ยงมันต้องการการตั้งค่าที่ปลอดภัยและตั้งใจ
misconfigurations ที่พบบ่อย
✗ INSECURE DEFAULTS left unchanged → default passwords, default accounts, sample content
✗ Unnecessary FEATURES/services/ports enabled → larger attack surface
✗ VERBOSE ERRORS in production → stack traces leaking internal details to attackers
✗ Missing SECURITY HEADERS; misconfigured CORS (allow-all); directory listing enabled
✗ Exposed admin/management interfaces or debug endpoints publicly
✗ Cloud misconfigs → public storage buckets, open databases, over-permissive access
✗ Outdated software / unpatched systems; overly permissive file/access permissions
