page counter next up previous contents
Next: 網頁存取用戶 Up: 安全 Apache 2.2 網站 Previous: 前言   Contents   DYWANG_HOME

隱藏敏感訊息

  1. 當網頁失敗或使用特定工具查詢時,系統會回傳 apache 版本、作業系統/版本等訊息,甚至安裝的模組等。攻擊者可利用這些訊息,比較快找到攻擊的方式。 
    [root@kvm6 www]# curl -s http://kvm6.deyu.wang/abc | sed -e 's/<[^>]*>//g' -e '/^$/d'
301 Moved Permanently
Moved Permanently
The document has moved here.
Apache/2.2.15 (Red Hat) Server at kvm6.deyu.wang Port 80
  2. 在 httpd.conf 中設定,ServerTokens 的參數有 Min[imal], OS, Prod[uctOnly], Full 四種,讀者可試著使用這四種參數,看網站回應。ServerSignature off 關閉系統生成的頁面的頁腳訊息。 
    [root@kvm6 www]# grep '^Server[TS]' /etc/httpd/conf/httpd.conf 
ServerTokens Prod
ServerSignature Off
  3. 重新載入 httpd.conf 設定 
    [root@kvm6 www]# /etc/init.d/httpd reload
Reloading httpd:
  4. 再次連上不存在的網頁時,已不出現作業系統及 Apache 版本。 
    [root@kvm6 www]# curl -s http://kvm6.deyu.wang/abc | sed -e 's/<[^>]*>//g' -e '/^$/d'
301 Moved Permanently
Moved Permanently
The document has moved here.


De-Yu Wang 2020-05-19