跳到主要內容

Apache 網站存取與嵌入防護設定(敏感檔案、目錄瀏覽、iframe 防護)

話說時間過得真快,轉眼間又收到上半年度局端的伺服器「弱點管制表」通報,其中當然免不了那些PHP/Apache需要升級項目,但本次多了三個新弱點項目,做個紀錄日後就能SOP處理!

弱點名稱:備份檔案洩漏
弱點概述:It is possible to retrieve file backups from the remote web server.
弱點名稱:Web 伺服器的目錄/資料夾可被瀏覽
弱點概述:Some directories on the remote web server are browsable.
弱點名稱:Web 應用程式具有點擊劫持(ClickJacking)的弱點
弱點概述:The remote web server may fail to mitigate a class of web application vulnerabilities.

這三個弱點可以一次解決,只需要找到 HTTPS vhost,也就是 <IfModule mod_ssl.c> 裡的 <VirtualHost *:443>。

該檔案通常由 certbot 自動產生,檔案名稱多為:000-default-le-ssl.conf(通常位於 sites-available 資料夾中,並連結到 sites-enabled 啟用)

sudo nano /etc/apache2/sites-available/000-default-le-ssl.conf 打開編輯

<IfModule mod_ssl.c>
<VirtualHost *:443>
略........................
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html

#防護設定加在DocumentRoot 後面

#這段解決Web 伺服器的目錄/資料夾可被瀏覽問題

<Directory /var/www/html>
Options -Indexes
AllowOverride All
Require all granted
</Directory>

#這段解決備份檔案洩漏

<FilesMatch "(?i)(~$|\.bak$|\.old$|\.orig$|\.save$|\.backup$|\.tmp$|\.temp$|\.swp$|\.swo$|\.sql$|\.zip$|\.tar$|\.tgz$|\.gz$|\.bz2$|\.xz$|\.7z$|\.rar$|\.log$|\.env$|\.ini$|\.conf$)">
Require all denied
</FilesMatch>

#這段解決Web 應用程式具有點擊劫持(ClickJacking)的弱點

<IfModule mod_headers.c>
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Content-Security-Policy "frame-ancestors 'self';"
</IfModule>

略........................

</VirtualHost>
</IfModule>

然後執行

sudo a2enmod headers
sudo apache2ctl configtest
sudo systemctl reload apache2

最後驗證

curl -I https://您的網址.tw/
返回HTTP/1.1 200 OK

curl -I https://您的網址.tw/uploads/
返回HTTP/1.0 404 Not Found

curl -I https://您的網址.tw/uploads/test.sql (臨時放一個 test.sql 測試檔,測試用 test.sql 驗證完成後請立即刪除。)
返回HTTP/1.1 403 Forbidden

這樣就一次解決(敏感檔案、目錄瀏覽、iframe 防護)等弱點問題,有需要的朋友參考看看。

工作心的撰寫:徐嘉裕 Neil hsu
標籤:

留言

張貼留言

這個網誌中的熱門文章

好用的windows備份檔案dos指令XCOPY-教學撰寫:徐嘉裕Neil hsu

要快速的備份某個硬碟全部資料到備份硬碟中,雖然是可以用windows內建的備份與還原,但如果重灌windows可會有key不同而無法還原的問題,還要改一堆設定煩死了,直接用dos指令XCOPY來做檔案的複製就很快了,資料也不會丟失,好朋友可以參考看看!! 首先開啟windows所有程式->附屬應用程式->開啟命令提示字元! 然後輸入以下指令 XCOPY C:\xxx   F:\xxx /s 藍字的 C:\xxx  為複製檔案來源位置例如要複製整個C槽就輸入 C:\ 綠色的   F:\xxx 為複製目的位置,例如要放到F槽的備份資料夾,就輸入  F:\ 備份 紅字的 S 為複製類型參數,可以自行修改為以下的參數設定: ================================================================= /A    只複製設定成保存屬性的檔案,不要改變屬性的設定。 /M    只複製設定成保存屬性的檔案,並清除保存屬性。 /D:m-d-y  複製指定日期當天或之後變更的檔案。如果沒給日期,只複製那些來源檔案日期比目的檔案日期為新的檔案。 /EXCLUDE:file1[+file2][+file3]...         指定檔案清單字串。每個字串應在不同行。如果有字串對應到要進行複製的檔案絕         對路徑的任何部分,這個檔案會被排除複製。例如,指定字串         \obj\ 或 .obj 的話,會排除所有在 obj 目錄下副檔名是.obj 的檔案複製。 /P    在建立每個目的檔案時顯示提示。 /S    複製每個目錄及其包含的子目錄,不複製空目錄。 /E    複製每個目錄及其包含的子目錄,也複製空目錄。/S 與 /E相同,能夠用來修改 /T。 /V   ...
3 則留言
閱讀完整內容

XAMPP自行下載PHP官方PHP8.3升級方法

目前這方法只適用於Windows安裝的Xampp,可以下PHP官網的PHP8.3包進行升級,如果是LINUX安裝的LAMPP此方法不適用,可直接跳過! 因為本地端的開發環境需要更高的PHP版本來測試模組,而XAMPP官網釋出的PHP版本只有到PHP8.2,無法滿足需求,只好自己動手DIY升級了,其實方法也很簡單,說明如下: 1、先關閉Xampp Panel的Apache跟Mysql 2、前往PHP官網,下載PHP8.3包(VS16 x64 Thread Safe) 下載連結: https://windows.php.net/download#php-8.3-ts-vs16-x64 3、吧下載回來的php包放解壓縮放到php資料夾裡面(建立一個php資料夾),然後吧Xampp根目錄中的php檔案更名,例如改為php_8.1,再吧剛剛下載建立的php資料夾放到Xampp根目錄中c:\xampp\php 4、進入php根目錄,找到php.ini-development,複製一份後改為php.ini,用文字編輯器打開進入 5、先搜尋;extension_dir,在下面加上extension_dir = "\xampp\php\ext" 6、再搜尋;extension=curl,會有下面這一排啟用套件設定 將以下套件的;註解拿掉 extension=curl extension=fileinfo extension=gd extension=gettext extension=mbstring extension=exif      extension=mysqli extension=openssl extension=pdo_mysql extension=pdo_sqlite extension=zip 7、最後需要吧 C:\xampp\php裡面的 libssh2.dll 複製後貼到C:\xampp\apache\bin 覆蓋舊檔 再到資料夾C:\xampp\php中輸入搜尋 libcrypto-*.dll 和 libssl-*.dll 找到兩支檔,複製後貼到C:\xampp\apache\bin 覆蓋舊檔 找到php.ini中的curl.cainfo,吧註解拿掉改為 curl.cainfo = "C:\xampp\php\ext...
1 則留言
閱讀完整內容

Ubuntu22.04分拆安裝(Apache / PHP / MySQL/ phpMyAdmin)的方法

為了應對越來越頻繁的資安通報,解決方案就是用PPA各別安裝Apache / PHP / MySQL/  phpMyAdmin套件,這樣如果遇到資安通報可立即升級修補漏洞,確保系統安全,晚上也好睡覺,以下是分拆安裝(Apache / PHP / MySQL/  phpMyAdmin)的安裝方法步驟說明: 備註說明: 如果是學校雲主機未啟用 IPv6,建議於先停用 IPv6,不然安裝流程會卡死 【Ubuntu 永久停用 IPv6(全系統 IPv4 優先)】 建立設定檔 sudo tee /etc/sysctl.d/99-disable-ipv6.conf <<EOF net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1 EOF 套用設定 sudo sysctl -p /etc/sysctl.d/99-disable-ipv6.conf 驗證 cat /proc/sys/net/ipv6/conf/all/disable_ipv6 如果回  1 ,表示 IPv6 已完全關閉。 這樣就能吧 IPv6關閉避免影響套件下載與安裝流程 步驟1. 安裝Apache/PHP 為了取得Apache官網最新版本及PHP最新版本,這裡使用 Ondřej Surý 的 PPA套件 ※輸入以下指令下載PPA套件 sudo apt update sudo apt install -y software-properties-common sudo add-apt-repository -y ppa:ondrej/apache2  sudo add-apt-repository -y ppa:ondrej/php 備註: 如發生add-apt-repository timeout 110無法安裝PPA,請參考這篇解決方案! ※安裝 Apache 2.4.XX最新版(包含 OpenSSL) sudo apt install -y apache2 apache2-utils ssl-cert openssl ※確認 Apache 版本及是否安裝 apache2 -v 應該會顯示: S...
張貼留言
閱讀完整內容