apache2.2.15漏洞解决办法
1.服务器扫面
■ HTTP TRACE Method Enabled
说明:
Apache服务器启用了TRACE Method。
1.TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。
2. 由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本简称XSS***,这种***方式又称为跨站跟踪***简称XST。
危害:
1. 恶意***者可以通过TRACE Method返回的信息了解到网站前端的一些信息,如缓存服务器等,从而为下一步的***提供便利。
2.恶意***者可以通过TRACE Method进行XSS***
3.即使网站对关键页面启用了HttpOnly头标记和禁止脚本读取cookie信息,那么通过TRACE Method恶意***者还是可以绕过这个限制读取到cookie信息。
解决方案:
在httpd.conf的尾部添加:
TraceEnable off
■ Missing HttpOnly Flag From Cookie
说明:
利用js读取在浏览器document对象中储存的Cookie信息,从而获取身份信息进行***
解决方案:
给浏览器设置Cookie的头如下:
【apache2.2.15漏洞解决办法】Set-Cookie: =[;
=]
[;
expires=][;
domain=]
[;
path=][;
secure][;
HttpOnly]
■ Click Jacking
说明:
Clickjacking(点击劫持)是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年首创的。
是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击***者想要欺骗用户点击的位置。
解决方案:
X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个iframe中的页面。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。
X-FRAME-OPTIONS
X-Frame-Options共有三个值:
DENY:任何页面都不能被嵌入到iframe或者frame中。
SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
ALLOW-FROM URI:页面自能被指定的Uri嵌入到iframe或frame中。
APACHE配置X-FRAME-OPTIONS
在站点配置文件httpd.conf中添加如下配置,限制只有站点内的页面才可以嵌入iframe。
Header always append X-Frame-Options SAMEORIGIN
配置之后重启apache使其生效。该配置方式对IBM HTTP Server同样适用。
如果同一apache服务器上有多个站点,只想针对一个站点进行配置,可以修改.htaccess文件,添加如下内容:
Header append X-FRAME-OPTIONS "SAMEORIGIN"
■ Apache HTTPD: error responses can expose cookies (CVE-2012-0053)
说明:
Apache服务器2.2.0-2.2.21版本存在一个漏洞(CVE-2012-0053),***者可通过给网站植入超大的Cookie,使得HTTP头超过apache的LimitRequestFieldSize(最大请求长度)8192字节,apache便会返回400错误,状态页中就包含了http-only保护的cookies。
解决方案:
Apache2.2.22及以上版本已经修复此问题,升级即可解决。
转载于:https://blog.51cto.com/5201299/1632240
推荐阅读
- CVE-2020-16898|CVE-2020-16898 TCP/IP远程代码执行漏洞
- parallels|parallels desktop 解决网络初始化失败问题
- 考研英语阅读终极解决方案——阅读理解如何巧拿高分
- MybatisPlus|MybatisPlus LambdaQueryWrapper使用int默认值的坑及解决
- 难道你仅会钻规则的漏洞吗()
- SpringBoot调用公共模块的自定义注解失效的解决
- 解决SpringBoot引用别的模块无法注入的问题
- Spark|Spark 数据倾斜及其解决方案
- 解决SyntaxError:|解决SyntaxError: invalid syntax
- Spectrum|Spectrum 区块偶尔停止同步问题排查与解决笔记