第 12 屆 iThome 鐵人賽

DAY 24

2

Security

資安這條路─以自建漏洞環境學習資訊安全系列第 24 篇

資安這條路 24- [Web 伺服器軟體] Apache

12th鐵人賽

團隊路上撿組員

2020-10-09 23:54:08

4769 瀏覽

分享至

Apache

Apache
- Web 伺服器軟體
- 可以跨平台使用
- 因為人為設定導致許多漏洞
- 官網
Apache 安裝
- apt-get install apache2
- 預設放網頁的位置：/var/www/html/
查看 Apache 執行權限
- apt update
- apt list --upgradable
- apt-get install lsof
- lsof -i:80
- ※如何透過專用的 Apache 使用者執行 apache
- groupadd apache
- useradd apache -g apache
- vim /etc/apache2/apache2.conf
```
User apache
Group apache
```
- /etc/init.d/apache2 restart
目錄遍歷問題
- 預設是關閉目錄列表功能
- 如果要關閉可以使用
```
<Directory /var/www/html>
Options -Indexes
</Directory>
```
關閉 Apache 版本與作業系統版本

ServerSignature Off
ServerTokens Prod

關閉 Etag

FileETag None

更新 apache 到最新版本
- yum update httpd
- apt-get install apache2
使用 SSL 加密
- 推薦透過 https://certbot.eff.org/
- 可選擇伺服器軟體跟作業系統
打開防火牆
- 安裝 ModSecurity
- yum install mod_security
弱點掃描
- 加入 HTTPOnly , Secure
  - vim apache2.conf
    - Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
- 加入 XSS Protection
  - vim apache2.conf
    - Header set X-XSS-Protection "1; mode=block"
參考文章

資安這條路 23 - [WebSecurity] HTTP Smuggling

資安這條路 25- [Web 伺服器軟體] Nginx

系列文

資安這條路─以自建漏洞環境學習資訊安全共 31 篇

目錄

RSS系列文訂閱系列文

280 人訂閱

完整目錄

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

尚未有邦友留言

立即登入留言

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js

IT邦幫忙