web 服务器安全
Posted 雪剑无影
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了web 服务器安全相关的知识,希望对你有一定的参考价值。
apache 关闭目录
配置文件:安装目录/Apache/conf/httpd.conf
<Directory /> #默认就会把/ 的目录暴漏出来;关闭方法: Options -Indexes FollowSymLinks (-Indexes 表示相反) Options +Indexes +FollowSymLinks +ExecCGI # 或者 # Options Indexes ----->把 Options的功能给关闭: Options None AllowOverride All Order allow,deny Allow from all Require all granted </Directory>
apache 隐藏版本号
window: 修改apache主配置文件 httpd.conf # Various default settings # Include conf/extra/httpd-default.conf # 将前注释 # 去掉
# 修改 httpd-default.conf
ServerTokens Full 改成 ServerTokens Prod
ServerSignature On 改成 ServerSignature off
liunx: 修改 conf/extra/httpd-default.conf ,更正如下信息: ServerTokens Full 更改为 ServerTokens Prod ServerSignature On 更改为 ServerSignature Off
下面是ServerTokens 的一些可能的赋值:
ServerTokens Prod 显示 “Server: Apache”
ServerTokens Major 显示 “Server: Apache/2″
ServerTokens Minor 显示 “Server: Apache/2.2″
ServerTokens Min 显示 “Server: Apache/2.2.17″
ServerTokens OS 显示 “Server: Apache/2.2.17 (Unix)”
ServerTokens Full 显示 “Server: Apache/2.2.17 (Unix) php/5.3.5″
nginx 关闭目录
修改配置:/usr/local/nginx/conf/nginx.conf
autoindex on; #默认管文件目录列表
#另外两个参数最好也加上去
autoindex_exact_size off;
# 默认为on,显示出文件的确切大小,单位是bytes。
# 改为off后,显示出文件的大概大小,单位是kB或者MB或者GB
autoindex_localtime on;
# 默认为off,显示的文件时间为GMT时间。
# 改为on后,显示的文件时间为文件的服务器时间
nginx 隐藏版本号
http { sendfile on; tcp_nopush on; keepalive_timeout 60; tcp_nodelay on; server_tokens off; # 添加最后一行 }
编辑php-fpm配置文件,如fastcgi.conf或fcgi.conf
# 找到下面这一行 fastcgi_param SERVER_SOFTWARE nginx/$nginx_version; # 修改为 fastcgi_param SERVER_SOFTWARE nginx;
php 隐藏版本号
配置文件php.ini
expose_php = On # 改为Off,头信息中将隐藏 X-Powered-By:PHP/7.1.0
以上是关于web 服务器安全的主要内容,如果未能解决你的问题,请参考以下文章
安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段
markdown 在Intel Nuc上设置Ubuntu Web服务器,步骤和代码片段
SpringCloud系列四:Eureka 服务发现框架(定义 Eureka 服务端Eureka 服务信息Eureka 发现管理Eureka 安全配置Eureka-HA(高可用) 机制Eur(代码片段