TOP

apache網點常見安全問題記錄(持續更新)
2019-12-20 11:38:15   字體:【 】  瀏覽:346次   評論:0

網站常見安全問題記錄(持續更新)

Apache

說明 初衷:

本文檔用于記錄所遇到的網站安全問題,并分類匯總,方便后期遇到類似問題,能夠快速找到解決方案,提高效率,讓程序員有更多的時間去把妹,LOL...

記錄規范:

標題必須清晰明了,方便用戶快速查找,拒絕標題黨;

問題放到正確的分類中;

記錄問題的時候先闡述問題,再列出解決方法,盡量做到有圖有真相;

如果有對應的資料,可以附上鏈接;

記錄問題提交人,方便追蹤

Apache Cookie缺少HttpOnly、Secure標識 漏洞提示


描述

httponly是微軟對cookie做的擴展,這個主要是解決用戶的cookie可能被盜用的問題。

大家都知道,當我們去郵箱或者論壇登陸后,服務器會寫一些cookie到我們的瀏覽器,當下次再訪問其他頁面時,由于瀏覽器回自動傳遞cookie,這樣就實現了一次登陸就可以看到所有需要登陸后才能看到的內容。也就是說,實質上,所有的登陸狀態這些都是建立在cookie上的!假設我們登陸后的cookie被人獲得,那就會有暴露個人信息的危險!當然,想想,其他人怎么可以獲得客戶的cookie?那必然是有不懷好意的人的程序在瀏覽器里運行!如果是現在滿天飛的流氓軟件,那沒有辦法,httponly也不是用來解決這種情況的,它是用來解決瀏覽器里java script訪問cookie的問題。試想,一個flash程序在你的瀏覽器里運行,就可以獲得你的cookie的!

修復方案

一、修改php配置文件php.ini

session.cookie_secure = 1

session.cookie_httponly = 1

暴力解決辦法:注釋掉對應信息

apache icons目錄問題

我們如果使用了apache服務器,當我訪問http://xxx.xxx.xxx/icons/時會自動顯示這個目錄下的所以文件列表,這行造成網站目錄信息的泄露對我們的網站安全造成威脅,在 關閉apache自動目錄列表功能的三種方法 這篇文章中的三種方法都不能禁止自動目錄列表,你如果使用網站安全監測,會提醒你發現目錄啟用了自動目錄列表功能,所以我們必須禁止它,經過測試,按如下步驟可以禁止:

打開目錄apache/conf/extra/下的文件httpd-autoindex.conf(位置可能有差異)

找到

Alias /icons/ "/xampp/apache/icons/"

 

<Directory "/xampp/apache/icons">

    Options Indexes MultiViews

    AllowOverride None

    Require all granted

</Directory>

去掉Indexes改成

<Directory "/xampp/apache/icons">

    Options  MultiViews

    AllowOverride None

    Require all granted

</Directory>

重啟apache服務器!

暴力解決辦法就是注釋掉或者直接刪除icons目錄

啟用了OPTIONS方法

在網站根目錄目錄下創建.htaccess文件,內容如下,如果您已有其他規則,請添加到第一條規則

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(OPTIONS)

RewriteRule .* - [F]

使用Apache的重寫規則來禁用Options方法和Trace方法

在Apache配置文件httpd-conf中【vhosts-conf】添加以下代碼:

單獨禁用Trace方法:

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)

RewriteRule .* - [F]

單獨禁用Options方法:

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(OPTIONS)

RewriteRule .* - [F]

同時禁用Trace方法和Options方法

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)

RewriteRule .* - [F]

<VirtualHost *:80>

    DocumentRoot "D:\wwwroot"

    ServerName www.abc.com

    ServerAlias abc.com

  <Directory "D:\wwwroot">

      Options FollowSymLinks ExecCGI

      AllowOverride All

      Order allow,deny

      Allow from all

      Require all granted

      RewriteEngine on

      RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)

      RewriteRule .* - [F]

  </Directory>

</VirtualHost>

啟用了TRACE Method

同啟用了OPTIONS方法處理方法相同

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)

或者在httpd.conf中添加配置:

TraceEnable off

X-Frame-Options頭未設置

在httpd.conf里面增加

Header always append X-Frame-Options SAMEORIGIN

錯誤頁面WEB應用服務器版本泄漏


修復方法:

關閉目錄瀏覽權限 描述

<Directory "/var/www/html"> 

    Options Indexes FollowSymLinks 

    AllowOverride None 

    Order allow,deny 

    Allow from all 

 </Directory>

options中Indexes表示當網頁不存在的時候允許索引顯示目錄中的文件

解決

將要設置的目錄對應配置參數下的Indexes刪除或者改為-Indexes(低版本可能會報錯)

<Directory "/var/www/html"> 

    Options FollowSymLinks 

    AllowOverride None 

    Order allow,deny 

    Allow from all 

 </Directory>

或者

<Directory "/var/www/html"> 

    Options -Indexes FollowSymLinks 

    AllowOverride None 

    Order allow,deny 

    Allow from all 

 </Directory>

缺少"x-content-type-options"頭

在httpd.conf里面增加

Header always set X-Content-Type-Options nosniff

其他 允許Flash文件與任何域HTML頁面通信 描述

解決方法

將參數AllowScriptAccess設置為never

jQuery版本警告

&#65279導致頁面空行 描述:

頁面的編碼如果是UTF-8 + BOM,會在body開頭處加入一個可見的控制符,導致頁面頭部會出現一個空白。這種編碼方式一般會在windows操作系統中出現,比如記事本編輯器,在保存一個以UTF-8編碼的文件時,會在文件開始的地方插入三個不可見的字符(0xEF 0xBB 0xBF,即BOM)。它是一串隱藏的字符,用于讓記事本等編輯器識別這個文件是否以UTF-8編碼。對于一般的文件,這樣并不會產生什么麻煩。但對于html來說,BOM是個大麻煩。因為瀏覽器在解析html頁面時,并不會忽略BOM,所以在解析html文件時,會把BOM作為該文件開頭正文的一部分,這串字符也將會被直接執行(在頁面中并不顯示)出來。由此造成即使頁面的 top或者padding 設置為0,也無法讓整個網頁緊貼瀏覽器頂部,因為在html一開頭有這3個隱藏字符!

解決辦法:

保存文件為utf-8

建議不要用記事本打開開發文件


Tags:apache 網點 常見 安全 問題 記錄 持續 更新 責任編輯:我村我最帥
】【打印繁體】【投稿】【收藏】 【推薦】【舉報】【評論】 【關閉】 【返回頂部
上一篇apache 限制每個線程的速度 下一篇file_get_contents 無法讀取https..

  • $_SERVER 是PHP預定義的超全局變量。所謂“超全局變量”,即在腳本全部作用域中都可以使用,$_SERVER保存關于報頭、路徑和腳本位置的信息。工作中經常忘記,在此整理記錄下,加深印象。測試是在Windows下進行的,環境為Apache/2.4.23 (Win32)+PHP/5.6.27-nts,訪問域名為http://www.example.com/index....,文件目錄在E:/WWW/example/。主要內容詳解$_SERVER["SCRIPT_N..

  • 系統環境:Windows Server 2008 R2 + Sql Server 2008 R2 問題描述:Windows Server 2008 R2系統內存占用率過大,而在任務管理器中各進程內存占用總和都遠不到此占用率。相關現象:1. 內存占用率90%以上2. 任務管理器中所有進程內存和較低,遠不到90%,有二十多G的內存偏差 分析過程: 首先懷疑SQL&..

  • ALTER TABLE zysjyj DROP aid;ALTER TABLE zysjyj ADD aid int(10) NOT NULL FIRST;ALTER TABLE zysjyj AUTO_INCREMENT=10000;ALTER TABLE zysjyj MODIFY COLUMN aid int(10) NOT NULL AUTO_INCREMENT,ADD PRIMARY KEY(aid);

-->

發布者

我村我最帥 我村我最帥
等級:普通會員
積分:0 個
性別:保密
ancun@163.com
38 身份還未認證 郵箱還未認證 手機還未認證 給它發送短消息 搜尋它在apache發布的全部文章 36

最新文章

網站服務地區

阿勒泰地區網站建設
宜昌市網站建設
普陀區網站建設
海淀區網站建設
離島區網站建設
貴港市網站建設
合肥市網站建設
株洲市網站建設
哈密地區網站建設
荊門市網站建設
九龍城區網站建設
云陽縣網站建設
滁州市網站建設
呼和浩特市網站建設
廣安市網站建設
酉陽土家族苗族自治縣網站建設
德陽市網站建設
臺東縣網站建設
伊犁哈薩克自治州網站建設
三明市網站建設
岳陽市網站建設
盤錦市網站建設

本月熱門

相關文章

(★^O^★)MG呼噜噜爱上乡下怎么玩容易爆分 贵州快三开奖数据 四川三国麻将 52白城麻将下载 福建十一选五走势图手机版 山西快乐10分app 5式直缆能赢百家乐吗 卡五星84调几档 全来麻将下载手机版 江西时时彩走势图开奖 好运彩彩票网是否合法 辽宁35选7官网 体彩网足球比分 移动棋牌大厅新版 麻将新手入门基本规则 重庆时时五星免费计划 北京快3历史开奖结果