apache2.2.15漏洞解决办法
2015-04-14 14:31
204 查看
1.服务器扫面■ HTTP TRACE Method Enabled说明:Apache服务器启用了TRACE Method。1.TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。2. 由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本简称XSS攻击,这种攻击方式又称为跨站跟踪攻击简称XST。危害:1. 恶意攻击者可以通过TRACE Method返回的信息了解到网站前端的一些信息,如缓存服务器等,从而为下一步的攻击提供便利。2.恶意攻击者可以通过TRACE Method进行XSS攻击3.即使网站对关键页面启用了HttpOnly头标记和禁止脚本读取cookie信息,那么通过TRACE Method恶意攻击者还是可以绕过这个限制读取到cookie信息。解决方案:在httpd.conf的尾部添加:TraceEnable off ■ Missing HttpOnly Flag From Cookie说明:利用js读取在浏览器document对象中储存的Cookie信息,从而获取身份信息进行攻击解决方案:给浏览器设置Cookie的头如下:Set-Cookie: =[; =][; expires=][; domain=][; path=][; secure][; HttpOnly] ■ Click Jacking说明:Clickjacking(点击劫持)是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年首创的。是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。解决方案:X-Frame-Options HTTP 响应头,可以指示浏览器是否应该加载一个iframe中的页面。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。X-FRAME-OPTIONSX-Frame-Options共有三个值:DENY:任何页面都不能被嵌入到iframe或者frame中。SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。ALLOW-FROM URI:页面自能被指定的Uri嵌入到iframe或frame中。 APACHE配置X-FRAME-OPTIONS在站点配置文件httpd.conf中添加如下配置,限制只有站点内的页面才可以嵌入iframe。Header always append X-Frame-Options SAMEORIGIN配置之后重启apache使其生效。该配置方式对IBM HTTP Server同样适用。如果同一apache服务器上有多个站点,只想针对一个站点进行配置,可以修改.htaccess文件,添加如下内容:Header append X-FRAME-OPTIONS "SAMEORIGIN" ■ Apache HTTPD: error responses can expose cookies (CVE-2012-0053)说明:Apache服务器2.2.0-2.2.21版本存在一个漏洞(CVE-2012-0053),攻击者可通过给网站植入超大的Cookie,使得HTTP头超过apache的LimitRequestFieldSize(最大请求长度)8192字节,apache便会返回400错误,状态页中就包含了http-only保护的cookies。解决方案:Apache2.2.22及以上版本已经修复此问题,升级即可解决。
相关文章推荐
- APMServ错误解决办法:1、Apache启动失败,请检查相关配置
- Apache 被 iptables 挡掉的解决办法
- org/apache/hadoop/hbase/CompatibilityFactory(scan)没有找到类的解决办法
- 关于struts2漏洞问题及解决办法
- Apache2.2.2 访问站点的时候报403无权限显示的解决办法
- 【安全牛学习笔记】基于PHP的SQL注入漏洞原理及解决办法
- apache虚拟主机名不区分大小写的解决办法
- Apache 中文目录浏览乱码解决办法
- 通过PHP的hash冲突漏洞进行DDoS攻击的解决办法
- apache 服务器禁止http方法 解决appscan 使用 HTTP 动词篡改的认证旁路漏洞
- 2014年Linux最大安全漏洞Bash Bug(Shellshock)解决办法
- neo2 装完maven 3.5后新建项目报org.apache.maven.plugin.war.WarMojo错误解决办法
- Struts2/XWork 安全漏洞及解决办法
- Bt4开启Apache时提示找不到命令的解决办法
- XAMPP打不开Apache服务的解决办法
- Blaster Rpc Exploit 漏洞解决办法
- Failed to execute goal org.apache.maven.plugins:maven-compiler-plugin:3.1:compile 解决办法
- apache服务器 403错误 禁止访问解决办法
- org.apache.ibatis.binding.BindingException: Parameter 'XXXX' not found.的问题解决办法
- org.apache.catalina.core.JreMemoryLeakPreventionListener解决办法