1.服務器掃面
■ HTTP TRACE Method Enabled
說明:
Apache服務器啓用了TRACE Method。
1.TRACE_Method是HTTP(超文本傳輸)協議定義的一種協議調試方法,該方法會使服務器原樣返回任意客戶端請求的任何內容。
2. 由於該方法會原樣返回客戶端提交的任意數據,因此可以用來進行跨站腳本簡稱XSS***,這種***方式又稱爲跨站跟蹤***簡稱XST。
危害:
1. 惡意***者可以通過TRACE Method返回的信息瞭解到網站前端的一些信息,如緩存服務器等,從而爲下一步的***提供便利。
2.惡意***者可以通過TRACE Method進行XSS***
3.即使網站對關鍵頁面啓用了HttpOnly頭標記和禁止腳本讀取cookie信息,那麼通過TRACE Method惡意***者還是可以繞過這個限制讀取到cookie信息。
解決方案:
在httpd.conf的尾部添加:
TraceEnable off
■ Missing HttpOnly Flag From Cookie
說明:
利用js讀取在瀏覽器document對象中儲存的Cookie信息,從而獲取身份信息進行***
解決方案:
給瀏覽器設置Cookie的頭如下:
Set-Cookie: =[; =]
[; expires=][; domain=]
[; path=][; secure][; HttpOnly]
■ Click Jacking
說明:
Clickjacking(點擊劫持)是由互聯網安全專家羅伯特·漢森和耶利米·格勞斯曼在2008年首創的。
是一種視覺欺騙手段,在web端就是iframe嵌套一個透明不可見的頁面,讓用戶在不知情的情況下,點擊***者想要欺騙用戶點擊的位置。
解決方案:
X-Frame-Options HTTP 響應頭,可以指示瀏覽器是否應該加載一個iframe中的頁面。網站可以通過設置X-Frame-Options阻止站點內的頁面被其他頁面嵌入從而防止點擊劫持。
X-FRAME-OPTIONS
X-Frame-Options共有三個值:
DENY:任何頁面都不能被嵌入到iframe或者frame中。
SAMEORIGIN:頁面只能被本站頁面嵌入到iframe或者frame中。
ALLOW-FROM URI:頁面自能被指定的Uri嵌入到iframe或frame中。
APACHE配置X-FRAME-OPTIONS
在站點配置文件httpd.conf中添加如下配置,限制只有站點內的頁面纔可以嵌入iframe。
Header always append X-Frame-Options SAMEORIGIN
配置之後重啓apache使其生效。該配置方式對IBM HTTP Server同樣適用。
如果同一apache服務器上有多個站點,只想針對一個站點進行配置,可以修改.htaccess文件,添加如下內容:
Header append X-FRAME-OPTIONS "SAMEORIGIN"
■ Apache HTTPD: error responses can expose cookies (CVE-2012-0053)
說明:
Apache服務器2.2.0-2.2.21版本存在一個漏洞(CVE-2012-0053),***者可通過給網站植入超大的Cookie,使得HTTP頭超過apache的LimitRequestFieldSize(最大請求長度)8192字節,apache便會返回400錯誤,狀態頁中就包含了http-only保護的cookies。
解決方案:
Apache2.2.22及以上版本已經修復此問題,升級即可解決。