Что такое security misconfiguration и как проверять?

Security misconfiguration — неправильные настройки безопасности. Примеры: debug mode включён на production (раскрывает stack traces), default credentials не изменены (admin/admin), ненужные функции включены (directory listing, verbose errors), отсутствие security headers (CSP, HSTS, X-Frame-Options), cloud storage публично доступен (S3 bucket). Тестируем: пробуем стандартные пути (/.git, /admin, /phpinfo.php), проверяем все HTTP response headers, пробуем /api/debug, смотрим error messages.