正确配置Web服务器
细节
Web服务器上的某些设置可以提高安全性。Web服务器上常见的漏洞是信息泄露。信息泄露可能会导致严重的问题,攻击者如果可以从服务器获取大量的碎片信息,会使得进一步的攻击更容易实施。
建议
减少信息泄露的一个简单方法是禁用详细的错误。详细的错误在开发环境中非常有用,但在生产环境中可能会泄漏关键信息,如Web框架信息和版本。攻击者可以使用这些信息来有针对性地进行攻击。
减少信息泄露的另一个简单方法是在服务器响应中返回最少的信息量。默认情况下,Apache将返回其版本号,正在运行的操作系统,以及运行的插件。通过更改配置文件,可以将其简化为只显示服务器正在运行Apache,而不影响功能。
更改服务器配置中的每一项默认目录可以大大提高安全性。攻击者经常在互联网上搜索易受攻击的网站,例如默认登录,容易猜到的管理界面,以及“隐藏”目录的简单命名方案。在需要网络访问的服务器上隐藏敏感页面的位置是一个很好的策略。
行政管理或其他限制区域不得公开到互联网,除非绝对必要,并且必须防止暴力破解攻击。没有任何防护的HTTP认证或表单认证都会遭受暴力破解攻击。