next up previous contents
Next: 網頁存取用戶 Up: 安全 Apache 2.4 網站 Previous: 前言   Contents

隱藏敏感訊息

  1. 當網頁失敗或使用特定工具查詢時,系統會回傳 apache 版本、作業系統/版本等訊息,甚至安裝的模組等。攻擊者可利用這些訊息,比較快找到攻擊的方式。
  2. Apache 2.4 在找不到連線檔案時,預設不會出現這些訊息。
    [root@kvm5 ~]# curl -s http://kvm5.deyu.wang/abc | sed -e 's/<[^>]*>//g' -e '/^$/d'
    404 Not Found
    Not Found
    The requested URL /abc was not found on this server.
    
  3. 如果要啟動自訂的「找不到檔案的錯誤訊息」,先查看設定中錯誤訊息文件。
    [root@kvm5 ~]# grep -i ErrorDocument -R /etc/httpd/
    /etc/httpd/conf/httpd.conf:#ErrorDocument 500 "The server made a boo boo."
    /etc/httpd/conf/httpd.conf:#ErrorDocument 404 /missing.html
    /etc/httpd/conf/httpd.conf:#ErrorDocument 404 "/cgi-bin/missing_handler.pl"
    /etc/httpd/conf/httpd.conf:#ErrorDocument 402 http://www.example.com/subscription_info.html
    Binary file /etc/httpd/conf/.httpd.conf.swp matches
    /etc/httpd/conf.d/welcome.conf:    ErrorDocument 403 /.noindex.html
    
  4. 取消 ErrorDocument 404 的註解,也就是啟動。
    [root@kvm5 ~]# grep 404 /etc/httpd/conf/httpd.conf 
    ErrorDocument 404 /missing.html
    #ErrorDocument 404 "/cgi-bin/missing_handler.pl"
    
  5. 再重新載入 httpd 服務設定。
    [root@kvm5 ~]# systemctl reload httpd.service
    
  6. 產生自訂的「找不到檔案的錯誤訊息」。
    [root@kvm5 ~]# echo 'File NOT Found' > /var/www/html/missing.html
    
  7. 在連線「找不到檔案」時,出現自訂的「錯誤訊息」。
    [root@kvm5 ~]# curl -s http://kvm5.deyu.wang/abc
    File NOT Found
    



2015-12-04