next up previous contents
Next: 網頁存取用戶 Up: 安全 Apache 2.2 網站 Previous: 前言   Contents

隱藏敏感訊息

  1. 當網頁失敗或使用特定工具查詢時,系統會回傳 apache 版本、作業系統/版本等訊息,甚至安裝的模組等。攻擊者可利用這些訊息,比較快找到攻擊的方式。
    [root@kvm6 www]# curl -s http://kvm6.deyu.wang/abc | sed -e 's/<[^>]*>//g' -e '/^$/d'
    301 Moved Permanently
    Moved Permanently
    The document has moved here.
    Apache/2.2.15 (Red Hat) Server at kvm6.deyu.wang Port 80
    
  2. 在 httpd.conf 中設定,ServerTokens 的參數有 Min[imal], OS, Prod[uctOnly], Full 四種,讀者可試著使用這四種參數,看網站回應。ServerSignature off 關閉系統生成的頁面的頁腳訊息。
    [root@kvm6 www]# grep '^Server[TS]' /etc/httpd/conf/httpd.conf 
    ServerTokens Prod
    ServerSignature Off
    
  3. 重新載入 httpd.conf 設定
    [root@kvm6 www]# /etc/init.d/httpd reload
    Reloading httpd:
    
  4. 再次連上不存在的網頁時,已不出現作業系統及 Apache 版本。
    [root@kvm6 www]# curl -s http://kvm6.deyu.wang/abc | sed -e 's/<[^>]*>//g' -e '/^$/d'
    301 Moved Permanently
    Moved Permanently
    The document has moved here.
    



De-Yu Wang 2018-09-25