名称:X-Frame-Options Header未配置
漏洞描述:X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在“frame”或“iframe”标签中显示,以此使网站内容不被其他站点引用和免于点击劫持攻击.
修复方法:设置X-Frame-Options头,三个可选值:1、DENY:无论如何不在框架中显示;2、SAMEORIGIN:仅在同源域名下的框架中显示;3、ALLOW-FROM uri:仅在指定域名下的框架中显示
具体操作方法:
//X-Frame-Options 设置
Apache :
引入mod_header模块,配置 Header always append X-Frame-Options SAMEORIGIN
Nginx :
add_header X-Frame-Options SAMEORIGIN;
名称:Apache http server 版本信息泄露
漏洞描述:可以获取远程apache http服务器的版本号
修复方法:隐藏Apache版本号以及重新编译Apache
具体操作方法:
//server版本信息泄露
Apache:
1)、隐藏版本号:
ServerTokens Prod
ServerSignature off
隐藏版本号的缺点是在http的响应头中还是可以看到server头里显示的web服务的类型。
2)、在apache源码包中的include/ap_release.h中找到如下信息,将BaseProduct中的名称改变,若将洗面的version号改变,则可以不在配置文件中设置隐藏版本,起到迷惑作用。
#define AP_SERVER_BASEVENDOR "Apache Software Foundation"
#define AP_SERVER_BASEPROJECT "Apache HTTP Server"
#define AP_SERVER_BASEPRODUCT "Apache"
#define AP_SERVER_MAJORVERSION_NUMBER 2
#define AP_SERVER_MINORVERSION_NUMBER 4
#define AP_SERVER_PATCHLEVEL_NUMBER