常见web扫描漏洞修复即网站服务器加固项

名称:X-Frame-Options Header未配置

漏洞描述:X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在“frame”或“iframe”标签中显示,以此使网站内容不被其他站点引用和免于点击劫持攻击.
修复方法:设置X-Frame-Options头,三个可选值:1、DENY:无论如何不在框架中显示;2、SAMEORIGIN:仅在同源域名下的框架中显示;3、ALLOW-FROM uri:仅在指定域名下的框架中显示
具体操作方法:

//X-Frame-Options 设置
    Apache :
    引入mod_header模块,配置 Header always append X-Frame-Options SAMEORIGIN
    
    Nginx  :
    add_header X-Frame-Options SAMEORIGIN;

名称:Apache http server 版本信息泄露

漏洞描述:可以获取远程apache http服务器的版本号
修复方法:隐藏Apache版本号以及重新编译Apache
具体操作方法:

//server版本信息泄露
    Apache:
    1)、隐藏版本号:
    ServerTokens Prod    
    ServerSignature off  
    隐藏版本号的缺点是在http的响应头中还是可以看到server头里显示的web服务的类型。
    2)、在apache源码包中的include/ap_release.h中找到如下信息,将BaseProduct中的名称改变,若将洗面的version号改变,则可以不在配置文件中设置隐藏版本,起到迷惑作用。
    #define AP_SERVER_BASEVENDOR "Apache Software Foundation"  
    #define AP_SERVER_BASEPROJECT "Apache HTTP Server"  
    #define AP_SERVER_BASEPRODUCT "Apache"  
  
    #define AP_SERVER_MAJORVERSION_NUMBER 2  
    #define AP_SERVER_MINORVERSION_NUMBER 4  
    #define AP_SERVER_PATCHLEVEL_NUMBER   
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值