实施正确的Web服务器配置

详细描述

Web服务器上的某些设置可以提高安全性。 Web服务器上通常被忽视的漏洞是信息泄露。 信息泄露可能导致严重的问题,因为每一个信息攻击者都可以从服务器获得使攻击更容易。

建议

减少信息泄露的一种简单方法是禁用详细错误。 详细错误在开发环境中很有用,但在生产环境中可能会泄露关键信息,例如Web框架信息和版本。 攻击者可以使用此信息来定位旨在利用实施特定缺陷的攻击。

减少信息泄露的另一个简单方法是返回服务器响应中的最少量的信息。 默认情况下,Apache将返回其版本号,运行它的操作系统和插件运行。 通过更改配置文件中的单个行,可以减少到只公开服务器正在运行Apache而不影响功能。

可以大大提高安全性的服务器中的一个配置更改是更改任何默认目录。 攻击者经常在Internet上搜索具有“low-hanging fruit”的网站,例如默认登录,容易猜到的管理界面,以及简单的“隐藏”目录命名方案。 这是一个好的策略,模糊处理需要网络访问的服务器上的任何敏感网页的位置。

管理或其他限制区域不应公开网络访问,除非绝对必要,并且必须抵抗暴力攻击。 HTTP认证或没有锁定保护的表单认证可以(并且将)被暴力攻击。

CWE/OWASP