Apache Dos漏洞

最新推荐文章于 2024-08-13 10:56:47 发布
最新推荐文章于 2024-08-13 10:56:47 发布
阅读量209 收藏
点赞数
分类专栏: 综合 文章标签: 操作系统 java 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trentluo/article/details/84008002
版权 

请大家注意下面这段:

<IfModule mod_headers.c>
        Header set X-Content-Type-Options "nosniff"     ##for xss
        Header set X-CSS-protection "1,mode=block"     ##for xss
        RequestHeader unset Range                                   ##for range dos
</IfModule>
请手工删除##for xss这样的注释
这段配置如果直接放在httpd.conf中是没有问题的,但是
如果放在httpd.conf.vm中经由autoconf打包生成出来的httpd.conf就有问题,因为
autoconf是用velocity模板生成的对##for xss注释删除后后面的内容不会分行,把四行变成一行内容了。
除非是##for xss##这样的注释才可以。

所以请大家把上面的内容直接修改为
<IfModule mod_headers.c>
        Header set X-Content-Type-Options "nosniff" 
        Header set X-CSS-protection "1,mode=block" 
        RequestHeader unset Range  
</IfModule>
 
trentluo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apache漏洞复现-多后缀解析漏洞,换行解析漏洞,2.4.49,2.4.50
weixin_64655821的博客
10-13 2085
apache漏洞复现-多后缀解析漏洞,换行解析漏洞,2.4.49,2.4.50
Apache Tomcat 文件包含漏洞(CNVD-2020-10487)修复方法
程序员的笔记
02-24 5226
Apache Tomcat 文件包含漏洞(CNVD-2020-10487)修复有以下方法: 1.版本升级,截至2020-2-24,官方公布的已修复该漏洞版本包括: Apache Tomcat 7.0.100Apache Tomcat 8.5.51Apache Tomcat 9.0.31 2.关闭AJPConnector: 修改conf/server.xml配置文件的,删除或注释掉这一行,修...
Apache HTTPD DoS 漏洞CVE-2016-8740 绿盟科技发布安全威胁通告
weixin_33963594的博客
09-01 385
2016年12月5日(当地时间),seclists.org网站发布了一条关于Apache网页服务器拒绝服务漏洞的消息,漏洞编号为CVE-2016-8740。官方尚未发布该漏洞的版本更新。绿盟科技发布安全威胁通告,原文见文末。 该漏洞存在于mod_http2模块中,这是从Apache HTTPD 2.4.17版本开始引入的关于HTTP/2协议的模块。然而该...
Web下的拒绝服务漏洞(DoS)
yggcwhat
09-29 2491
Web下的拒绝服务漏洞(DoS)
Apache之DSO小解
weixin_33937913的博客
08-24 103
对DSO的理解还不是特别深刻,所以把自己查来的资料整理一下并想就此作一个总结。暂时先把资料堆到blog里面了,有时间再整理总结。 一、以下源于《Apache HTTP Server Version 2.2 文档》 动态共享对象(DSO)支持 Apache HTTP服务器是一个模块化的软件,管理员可以通过选择服务器中包含的模块进行功能增减。模块可以在编译时被静...
linux系统内核是DOS,Linux内核中发现未修补的DoS漏洞
weixin_35755640的博客
04-30 125
贡献者Wanpeng Li在Linux内核中发现的两个拒绝服务(DoS)漏洞,可能允许本地攻击者利用空指针引用错误来触发DoS条件。第一个在Common Vulnerabilities and Exposures数据库中,编号为CVE-2018-19406,漏洞存在于Linux内核的kvm_pv_send_ipi函数中,该函数在arch/x86/kvm/lapic.c文件中定义。CVE-2018-...
微软确认新Windows DoS漏洞(转)
cuankuangzhong6373的博客
07-11 114
微软今天确认了未修补的Windows漏洞的存在,该漏洞可以使一个远程攻击者崩溃系统,并导致蓝屏。 一段特意构造的网络数据被发送给受影响的系统后,可以引发系统崩溃,因为SMB(Server Message Block)协...
Apache httpd 出现多个漏洞 可能引发DoS攻击 2.2.x及2.4.x版本受影响
weixin_34004576的博客
09-01 5043
近日,Apache 官方发布了httpd的新版本修复了多个安全漏洞,涉及CVE-2017-3167,CVE-2017-3169,CVE-2017-7659,CVE-2017-7668,CVE-2017-7679,可以造成身份验证被绕过以及拒绝服务攻击等。大部分Apache httpd 2.2.x以及2.4.x版本均受影响。相关漏洞信息如下: CVE...
Tomcat存在Dos漏洞及身份验证漏洞
rj0801zxh
03-28 713
Apache软件基金会团队在邮件列表中指出,Tomcat中存在一个严重的拒绝服务(DoS漏洞,以及一个摘要式身份验证漏洞。 1.  拒绝服务(DoS漏洞(CVE-2012-2733) 漏洞描述: 在HTTP NIO连接器请求解析过程中,用于限制请求头大小的检查进程实施太晚,这允许攻击者通过发送一个请求头非常大的单个请求来触发内存溢出(OutOfMemoryError)。 严重程度:重要 影...
BIND DoS漏洞分析
嬴政
08-06 5022
防护方案:BIND DoS漏洞分析 近日,互联网系统协会ISC 发布紧急补丁(CVE-2015-5477),修复隐藏在开源软件BIND中named的严重安全漏洞。远程攻击者通过发起畸形的TKEY查询,可对DNS服务器造成DoS拒绝服务。BIND是目前部署在域名服务器中应用广泛的开源软件之一,支持各种 UNIX 平台和 Windows 平台  原文地址:http://www.panshy.com
【安全警报】Spring DoS漏洞曝光!涉及所有版本,建议立即升级!
weixin_49044033的博客
03-22 1388
Spring Security 是其中的一项重要功能,提供了模块化的认证和授权方式,可以轻松集成到 Web 应用中,并支持多种身份验证方式,包括基于表单、指令、口令和 OpenID 等方式。CVE-2023-20861:在 Spring Framework 6.0.0-6.0.6、5.3.0-5.3.25、5.2.0.RELEASE-5.2.22.RELEASE 和更早已经不被支持的版本中,用户可以提供一个特殊设计的 SpEL 表达式,它能导致拒绝服务(DoS)攻击。六、Spring Boot。
dos攻击漏洞思路小结
最新发布
2401_83799022的博客
08-13 719
测试拒绝服务漏洞时一定不要一下子将参数调得很大,有的系统比较脆弱,可能会将服务器打崩,而src中明确规定不允许对业务产生影响,若打崩服务器会造成不可预知的后果,需谨慎对待。解压zbxl.zip炸弹以后会出现16个压缩包,每个压缩包又包含16个,如此循环5次,最后得到16的5次方个文件,也就是1048576个文件,这一百多万个最终文件,每个大小为4.3GB。测试了很久没找到漏洞,然后借朋友手机登录我的账户(账户是登录状态),换个手机登录时不小心输错了密码,然后点击登录后发现原本手机登录态的账户被强制退出了。
Apache和Nginx解析漏洞
p_utao的博客
09-04 1251
先来玩Apache解析漏洞,安界网的靶场。 漏洞原理 Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如 test.php.owf.rar “.owf”和”.rar” 这两种后缀是apache不可识别解析,apache就会把test.php.owf.rar解析成php。 其余配置问题导致漏洞 (1)如果在 Apache 的 conf 里有这样一行配置 AddHandler php5-script .php 这时只要文件名里包含.php 即使文件名是 test
Apache服务器远离DoS攻击
最实用的Linux博客
10-16 1884
原贴:http://blog.chinaunix.net/u/21012/showart_145897.html让Apache服务器远离DoS攻击
Apache服务器防范DoS
weixin_30716141的博客
03-04 127
Apache服务器对拒绝服务攻击的防范主要通过软件Apache DoS Evasive Maneuvers Module 来实现。它是一款mod_access的替代软件,可以对抗DoS攻击。该软件可以快速拒绝来自相同地址对同一URL的重复请求,通过查询内部一张各子进程的哈希表来实现。到网站http://online/. securityfocus.com/data/tools/dospatch....
Apache 慢连接dos
weixin_33842328的博客
07-18 87
http://neue.v2ex.com/t/108717------不实用 http://www.blogjava.net/bukebushuo/articles/293776.html http://www.2cto.com/Article/201108/99274.html http://www.wdlinux.cn/old/mod_evasive---可用 ...
如何解决Apache Range Header DOS攻击
hzcyclone的专栏
10-12 2006
理论上,一旦带上N个Range分片,Apache单次请求压力就是之前的N倍(实际少于N),需要做大量的运算和字符串处理 解决方案 1. 等待Apache修复,不过Byte Range是规范要求的,不能算是真正意义上的BUG,不知道会如何修复这个问题 2. 对
使用apache服务的功能模块使web服务免受应用层DOS攻击
末日黄昏的博客
07-19 367
一般来说,有两种形式的 DOS 攻击: OSI 模型的三、四层,即网络层攻击 OSI 模型的七层,即应用层攻击 第一种类型的 DOS 攻击——网络层,发生于当大量的垃圾流量流向网页服务器时。当垃圾流量超过网络的处理能力时,网站就会宕机。 第二种类型的 DOS 攻击是在应用层,是利用合法的服务请求,而不是垃圾流量。当页面请求数量超过网页服务器能承受的容量时,即使是合法访问者也将无法使用该网站。...
Apache Zookeeper安全漏洞
04-16
Apache ZooKeeper是一个开源的分布式协调服务,用于管理和协调分布式应用程序的配置信息、命名服务、分布式锁等。在过去的几年中,Apache ZooKeeper曾经发现了一些安全漏洞,以下是其中一些常见的安全漏洞: 1. 未经身份验证的访问:如果未正确配置访问控制列表(ACL),攻击者可能会通过未经身份验证的方式访问ZooKeeper集群。这可能导致敏感数据泄露或未经授权的更改。 2. 信息泄露:在某些情况下,ZooKeeper可能会泄露敏感信息,例如节点路径、数据内容等。攻击者可以利用这些信息来进一步攻击系统。 3. 拒绝服务(DoS)攻击:攻击者可以通过发送大量请求或恶意请求来耗尽ZooKeeper服务器的资源,导致服务不可用。 4. 未经授权的访问:如果未正确配置访问控制列表(ACL),攻击者可能会获得对ZooKeeper集群的未经授权访问权限,从而执行未经授权的操作。 为了保护Apache ZooKeeper集群的安全,以下是一些建议的安全措施: 1. 配置访问控制列表(ACL):确保只有经过身份验证的用户才能访问ZooKeeper集群,并限制其权限。 2. 使用安全通信协议:使用SSL/TLS等安全通信协议来保护ZooKeeper集群中的数据传输。 3. 定期更新和升级:及时更新和升级ZooKeeper版本,以获取最新的安全修复和功能改进。 4. 监控和日志记录:实施监控和日志记录机制,及时检测和响应潜在的安全事件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值