TOP

apache網點常見安全問題記錄(持續更新)
2019-12-20 11:38:15   字體:【 】  瀏覽:432次   評論:0

網站常見安全問題記錄(持續更新)

Apache

說明 初衷:

本文檔用于記錄所遇到的網站安全問題,并分類匯總,方便后期遇到類似問題,能夠快速找到解決方案,提高效率,讓程序員有更多的時間去把妹,LOL...

記錄規范:

標題必須清晰明了,方便用戶快速查找,拒絕標題黨;

問題放到正確的分類中;

記錄問題的時候先闡述問題,再列出解決方法,盡量做到有圖有真相;

如果有對應的資料,可以附上鏈接;

記錄問題提交人,方便追蹤

Apache Cookie缺少HttpOnly、Secure標識 漏洞提示


描述

httponly是微軟對cookie做的擴展,這個主要是解決用戶的cookie可能被盜用的問題。

大家都知道,當我們去郵箱或者論壇登陸后,服務器會寫一些cookie到我們的瀏覽器,當下次再訪問其他頁面時,由于瀏覽器回自動傳遞cookie,這樣就實現了一次登陸就可以看到所有需要登陸后才能看到的內容。也就是說,實質上,所有的登陸狀態這些都是建立在cookie上的!假設我們登陸后的cookie被人獲得,那就會有暴露個人信息的危險!當然,想想,其他人怎么可以獲得客戶的cookie?那必然是有不懷好意的人的程序在瀏覽器里運行!如果是現在滿天飛的流氓軟件,那沒有辦法,httponly也不是用來解決這種情況的,它是用來解決瀏覽器里java script訪問cookie的問題。試想,一個flash程序在你的瀏覽器里運行,就可以獲得你的cookie的!

修復方案

一、修改php配置文件php.ini

session.cookie_secure = 1

session.cookie_httponly = 1

暴力解決辦法:注釋掉對應信息

apache icons目錄問題

我們如果使用了apache服務器,當我訪問http://xxx.xxx.xxx/icons/時會自動顯示這個目錄下的所以文件列表,這行造成網站目錄信息的泄露對我們的網站安全造成威脅,在 關閉apache自動目錄列表功能的三種方法 這篇文章中的三種方法都不能禁止自動目錄列表,你如果使用網站安全監測,會提醒你發現目錄啟用了自動目錄列表功能,所以我們必須禁止它,經過測試,按如下步驟可以禁止:

打開目錄apache/conf/extra/下的文件httpd-autoindex.conf(位置可能有差異)

找到

Alias /icons/ "/xampp/apache/icons/"

 

<Directory "/xampp/apache/icons">

    Options Indexes MultiViews

    AllowOverride None

    Require all granted

</Directory>

去掉Indexes改成

<Directory "/xampp/apache/icons">

    Options  MultiViews

    AllowOverride None

    Require all granted

</Directory>

重啟apache服務器!

暴力解決辦法就是注釋掉或者直接刪除icons目錄

啟用了OPTIONS方法

在網站根目錄目錄下創建.htaccess文件,內容如下,如果您已有其他規則,請添加到第一條規則

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(OPTIONS)

RewriteRule .* - [F]

使用Apache的重寫規則來禁用Options方法和Trace方法

在Apache配置文件httpd-conf中【vhosts-conf】添加以下代碼:

單獨禁用Trace方法:

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)

RewriteRule .* - [F]

單獨禁用Options方法:

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(OPTIONS)

RewriteRule .* - [F]

同時禁用Trace方法和Options方法

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)

RewriteRule .* - [F]

<VirtualHost *:80>

    DocumentRoot "D:\wwwroot"

    ServerName www.abc.com

    ServerAlias abc.com

  <Directory "D:\wwwroot">

      Options FollowSymLinks ExecCGI

      AllowOverride All

      Order allow,deny

      Allow from all

      Require all granted

      RewriteEngine on

      RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)

      RewriteRule .* - [F]

  </Directory>

</VirtualHost>

啟用了TRACE Method

同啟用了OPTIONS方法處理方法相同

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)

或者在httpd.conf中添加配置:

TraceEnable off

X-Frame-Options頭未設置

在httpd.conf里面增加

Header always append X-Frame-Options SAMEORIGIN

錯誤頁面WEB應用服務器版本泄漏


修復方法:

關閉目錄瀏覽權限 描述

<Directory "/var/www/html"> 

    Options Indexes FollowSymLinks 

    AllowOverride None 

    Order allow,deny 

    Allow from all 

 </Directory>

options中Indexes表示當網頁不存在的時候允許索引顯示目錄中的文件

解決

將要設置的目錄對應配置參數下的Indexes刪除或者改為-Indexes(低版本可能會報錯)

<Directory "/var/www/html"> 

    Options FollowSymLinks 

    AllowOverride None 

    Order allow,deny 

    Allow from all 

 </Directory>

或者

<Directory "/var/www/html"> 

    Options -Indexes FollowSymLinks 

    AllowOverride None 

    Order allow,deny 

    Allow from all 

 </Directory>

缺少"x-content-type-options"頭

在httpd.conf里面增加

Header always set X-Content-Type-Options nosniff

其他 允許Flash文件與任何域HTML頁面通信 描述

解決方法

將參數AllowScriptAccess設置為never

jQuery版本警告

&#65279導致頁面空行 描述:

頁面的編碼如果是UTF-8 + BOM,會在body開頭處加入一個可見的控制符,導致頁面頭部會出現一個空白。這種編碼方式一般會在windows操作系統中出現,比如記事本編輯器,在保存一個以UTF-8編碼的文件時,會在文件開始的地方插入三個不可見的字符(0xEF 0xBB 0xBF,即BOM)。它是一串隱藏的字符,用于讓記事本等編輯器識別這個文件是否以UTF-8編碼。對于一般的文件,這樣并不會產生什么麻煩。但對于html來說,BOM是個大麻煩。因為瀏覽器在解析html頁面時,并不會忽略BOM,所以在解析html文件時,會把BOM作為該文件開頭正文的一部分,這串字符也將會被直接執行(在頁面中并不顯示)出來。由此造成即使頁面的 top或者padding 設置為0,也無法讓整個網頁緊貼瀏覽器頂部,因為在html一開頭有這3個隱藏字符!

解決辦法:

保存文件為utf-8

建議不要用記事本打開開發文件


Tags:apache 網點 常見 安全 問題 記錄 持續 更新 責任編輯:我村我最帥
】【打印繁體】【投稿】【收藏】 【推薦】【舉報】【評論】 【關閉】 【返回頂部
上一篇apache 限制每個線程的速度 下一篇file_get_contents 無法讀取https..

  • $_SERVER 是PHP預定義的超全局變量。所謂“超全局變量”,即在腳本全部作用域中都可以使用,$_SERVER保存關于報頭、路徑和腳本位置的信息。工作中經常忘記,在此整理記錄下,加深印象。測試是在Windows下進行的,環境為Apache/2.4.23 (Win32)+PHP/5.6.27-nts,訪問域名為http://www.example.com/index....,文件目錄在E:/WWW/example/。主要內容詳解$_SERVER["SCRIPT_N..

  • 系統環境:Windows Server 2008 R2 + Sql Server 2008 R2 問題描述:Windows Server 2008 R2系統內存占用率過大,而在任務管理器中各進程內存占用總和都遠不到此占用率。相關現象:1. 內存占用率90%以上2. 任務管理器中所有進程內存和較低,遠不到90%,有二十多G的內存偏差 分析過程: 首先懷疑SQL&..

  • ALTER TABLE zysjyj DROP aid;ALTER TABLE zysjyj ADD aid int(10) NOT NULL FIRST;ALTER TABLE zysjyj AUTO_INCREMENT=10000;ALTER TABLE zysjyj MODIFY COLUMN aid int(10) NOT NULL AUTO_INCREMENT,ADD PRIMARY KEY(aid);

  • 前言最近在進行apache性能優化設置。在修改apache配置)文件之前需要備份原有的配置文件夾conf,這是網站架設的好習慣。以下的apache配置調優均是在red had的環境下進行的。httpd 相關查看命令了解查看當前安裝模塊mpm(多路處理器)[root@localhost ~]# httpd -l查看httpd進程數(即各個mpm模式下Apache能夠處理的并發請求數)[root@localhost ~]# p..

  • 說明在我的五旬節期間,我注意到您可以通過java script,如果您的站點易受XSS影響,并且您正在使用Apache HTTP服務器。這是可能的,因為apachehttp服務器發送一個“http400壞消息”請求“如果HTTP頭值太長(超過服務器限制)。在本例中,apache還包括頭名稱和頭值在400錯誤頁上。所以通過XSS可以設置一組大的cookies,激發XHR請求并讀取響應,還包含僅HttpCookies據我所知,..

  • 一些常見的狀態碼為:200 - 服務器成功返回網頁 404 - 請求的網頁不存在 503 - 服務不可用 詳細分解:1xx(臨時響應) 表示臨時響應并需要請求者繼續執行操作的狀態代碼。代碼 說明 100 (繼續) 請求者應當繼續提出請求。服務器返回此代碼表示已收到請求的第一部分,正在等待其余部分。 101 (切換..

  • 首先簡單介紹一下,.htaccess文件是Apache服務器中的一個配置文件(Nginx服務器沒有),它負責相關目錄下的網頁配置。通過對.htaccess文件進行設置,可以幫我們實現:網頁301重定向、自定義400/403/404/500錯誤頁面、改變文件擴展名、允許/阻止指定IP用戶訪問、禁止目錄列表、配置默認文檔等功能,可以說是功能非常強大,下面就給大家介紹一下最常用的幾個功能的設置方法。設置網站錯..

-->

發布者

我村我最帥 我村我最帥
等級:普通會員
積分:0 個
性別:保密
ancun@163.com
44 身份還未認證 郵箱還未認證 手機還未認證 給它發送短消息 搜尋它在apache發布的全部文章 42

最新文章

網站服務地區

嘉興市網站建設
貴陽市網站建設
衢州市網站建設
成都市網站建設
太原市網站建設
廣州市網站建設
白銀市網站建設
溫州市網站建設
密云縣網站建設
阿里地區網站建設
南充市網站建設
寧波市網站建設
涪陵區網站建設
黔江區網站建設
玉樹藏族自治州網站建設
石柱土家族自治縣網站建設
聊城市網站建設
杭州市網站建設
綏化市網站建設
梁平縣網站建設
景德鎮市網站建設
宿遷市網站建設

本月熱門

相關文章

120期波叔一波中特图