自動目錄
因為資安的關係,接到了一些弱點掃描出現的問題,解決方法做個整理。
弱點名稱
1. The web server is sending the X-Powered-By: response headers, revealing the PHP version.
發生原因:php送出 X-Powered-By的標頭中顯示php的版本
解決方法:
修改php.ini [1]
expose_php = Off
2. TRACE method is enabled
發生原因:http協定TRACE方法有效
解決方法:關掉他
修改 httpd.conf 加入一行
TraceEnable off
3. Clickjacking: X-Frame-Options header missing [2]
發生原因:沒有避免點擊劫持(Clickjacking)的設定
解決方法:
修改 httpd.conf 加入一行
Header always set X-Frame-Options "SAMEORIGIN"
4. Apache mod_negotiation filename bruteforcing
發生原因:使用者若使用不合法的標頭會回傳406錯誤,攻擊者可由暴力方式取得檔名、備份檔等資訊。
解決方法:
修改 httpd.conf 加入一行,例如:
<Directory "/var/www/html">
Options -Indexes -Multiviews
</Directory>
Options -Indexes -Multiviews
</Directory>
5. PHP allow_url_fopen enabled
發生原因:允許取得遠端的服務,如http ftp等。allow_url_fopen預設是開啟的。
解決方法:如果用不到可以關閉,貿然關閉的話,file_get_contents 等函數會出錯。
修改php.ini
allow_url_fopen = 'off'
或 .htaccess
php_flag allow_url_fopen off
6. Cross site scripting
發生原因:跨站攻擊(XSS),基本上只要攻擊者輸入的程式或指令會出現在網頁上的話就算。
解決方法:攻擊者在輸入欄位或url網址中會插入JS程式碼,程式應該要進行檢查及字串取代,不應直接顯示在頁面上。
目前整理這樣,爾後有再補充。
參考資料
[1] https://blogs.oracle.com/oswald/hide-x-powered-by:-php
[2] https://zh.wikipedia.org/wiki/%E7%82%B9%E5%87%BB%E5%8A%AB%E6%8C%81
END
