免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 服务器应用 关于APACHE两个安全漏洞设置
最近访问板块 发新帖
查看: 3308 | 回复: 7
打印 上一主题 下一主题

[Web] 关于APACHE两个安全漏洞设置 [复制链接]

轩静天

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2009-08-19 15:21 |只看该作者 |倒序浏览
当前APACHE版本情况如下:
$ httpd -v
Server version: Apache/2.0.55
Server built:   May 18 2006 17:39:25

目前存在两个漏洞:
1.目录遍历漏洞
  当客户端发送访问一个特定目录而不是一个文件的请求时,WEB服务器可能响应,检索目录列表,并将检索信息反馈给客户端.
2.HTTP报头协议追踪漏洞
  支持TRACE/TRACK WEB服务器HTTP连接方式调节功能。当该调试功能开启时,包含敏感信息的HTTP报头可能被恶意人员追踪截获。

请教各位大侠,这两个漏洞如何修补,万分感谢.
ruochen

论坛徽章:
8
综合交流区版块每周发帖之星 日期:2015-12-02 15:03:53数据库技术版块每日发帖之星 日期:2015-10-02 06:20:00IT运维版块每日发帖之星 日期:2015-10-02 06:20:00IT运维版块每日发帖之星 日期:2015-09-14 06:20:00金牛座 日期:2014-10-10 11:23:34CU十二周年纪念徽章 日期:2013-10-24 15:41:34酉鸡 日期:2013-10-19 10:17:1315-16赛季CBA联赛之北京 日期:2017-03-06 15:12:44
2 [报告]
发表于 2009-08-19 17:49 |只看该作者
原帖由 轩静天 于 2009-8-19 15:21 发表
当前APACHE版本情况如下:
$ httpd -v
Server version: Apache/2.0.55
Server built:   May 18 2006 17:39:25

目前存在两个漏洞:
1.目录遍历漏洞
  当客户端发送访问一个特定目录而不是一个文件的请求 ...



apache的版本很旧呀
没有与时俱进的升级?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
塌了胃

论坛徽章:
0
3 [报告]
发表于 2009-08-19 21:53 |只看该作者
第一个:可以试试在httpd.conf中对特定的目录进行访问设置,屏蔽目录索引,或是用URL重写规则,对该目录的访问进行重定向。
第二个:对这个方面的认识我也没有了解过,所以我也不知道。帖主知道了,麻烦告知一下哦。:wink:
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
轩静天

论坛徽章:
0
4 [报告]
发表于 2009-08-20 00:52 |只看该作者
在httpd.conf将Directory域按如下配置,重启服务后,目前测试达到预期效果,分享一下,谢谢。

DocumentRoot "/opt/apache/html"
<Directory "/opt/apache/html">
AllowOverride None
<Limit POST GET>
    Options Includes
    Order allow,deny
    Allow from all
   </Limit>
   <LimitExcept POST GET>
   Order allow,deny
   deny from all
   </LimitExcept>
</Directory>
<Directory />
    Options FollowSymLinks
    AllowOverride None
</Directory>
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ruochen

论坛徽章:
8
综合交流区版块每周发帖之星 日期:2015-12-02 15:03:53数据库技术版块每日发帖之星 日期:2015-10-02 06:20:00IT运维版块每日发帖之星 日期:2015-10-02 06:20:00IT运维版块每日发帖之星 日期:2015-09-14 06:20:00金牛座 日期:2014-10-10 11:23:34CU十二周年纪念徽章 日期:2013-10-24 15:41:34酉鸡 日期:2013-10-19 10:17:1315-16赛季CBA联赛之北京 日期:2017-03-06 15:12:44
5 [报告]
发表于 2009-08-20 08:33 |只看该作者
原帖由 轩静天 于 2009-8-20 00:52 发表
在httpd.conf将Directory域按如下配置,重启服务后,目前测试达到预期效果,分享一下,谢谢。

DocumentRoot "/opt/apache/html"

AllowOverride None

    Options Includes
    Order allow,deny
  ...



谢谢分享
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
h101com

论坛徽章:
9
巳蛇 日期:2013-12-05 15:03:33戌狗 日期:2013-12-10 20:52:35白羊座 日期:2014-12-30 14:11:58处女座 日期:2015-01-15 14:33:442015年亚洲杯纪念徽章 日期:2015-01-28 13:37:36羊年新春福章 日期:2015-01-30 15:03:352015年亚洲杯之约旦 日期:2015-02-09 17:07:552015年亚洲杯之韩国 日期:2015-03-26 15:04:132015年亚洲杯之卡塔尔 日期:2015-04-04 16:35:54
6 [报告]
发表于 2009-08-21 16:29 |只看该作者
支持下!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
LnBSD

论坛徽章:
0
7 [报告]
发表于 2009-08-31 08:23 |只看该作者
原帖由 轩静天 于 2009-8-19 15:21 发表
当前APACHE版本情况如下:
$ httpd -v
Server version: Apache/2.0.55
Server built:   May 18 2006 17:39:25

目前存在两个漏洞:
1.目录遍历漏洞
  当客户端发送访问一个特定目录而不是一个文件的请求 ...


2 TraceEnable Off
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
llzqq

论坛徽章:
0
8 [报告]
发表于 2009-09-09 21:16 |只看该作者
我还在用apache-1.3.x
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP