Apache Web 概述
Apache Httpd 是常用的构建网站服务器的软件,简称 Apache Web
Apache Httpd 配置文件如下
1.httpd.conf
httpd.conf 是 Apache 的主配置文件,httpd 程序启动时会先读取 httpd.conf。该文件设定 Apache 服务器一般的属性、端口、执行者身份等。
2.conf/srm.conf
conf/srm.conf 是数据配置文件,在这个文件中主要设置 WWW Server 读取文件的目录、目录索 引时的画面、CGI 执行时的目录等。srm.conf 不是必需的,可以完全在 httpd.conf 里设定。
3.conf/access.conf
access.conf 负责基本的读取文件控制,限制目录所能执行的功能及访问目录的权限,设置 access.conf 不是必需的,可以在 httpd.conf 里设定。
4.conf/mime.conf
mime.conf 设定 Apache 所能辨别的 MIME 格式,一般而言,无须动此文件。若要增加 MIME 格式, 可参考 srm.conf 中 AddType 的语法说明
Apache Web 安全分析
Apache Web 主要面临以下安全威胁
- Apache Web 软件程序威胁:攻击者利用 Apache 软件程序漏洞来攻击网站,特别是 一些 具有缓冲区溢出漏洞的程序
- Apache Web 软件配置威胁:攻击者利用 Apache 网站管理配置漏洞,访问网站敏感信息。典型实例有目录索引(Directory Indexing)、资源位置预测(Predictable Resource Location)、信息泄露(Information Leakage)。
- Apache Web 安全机制威胁:攻击者利用 Apache 安全机制的漏洞,进行攻击非授权访问的 Apache 服务,典型实例有口令暴力攻击(Brute Force )、授权不当(Insufficient Authorization )、弱口令恢复验证(Weak Password Recovery Validation)
- Apache Web 应用程序威胁:攻击者利用 Apache 应用程序漏洞来攻击网站,攻击者编写的一些漏洞利用程序,使得 Apache 服务失去控制,攻击者可以执行其恶意指令。典型实例有 SQL 注入、输入验证错误(Input Validation Error)。
- Apache Web 服务通信威胁:Apache—般情况下使用的 HTTP 协议是明文传递的,攻击者可以通过监听手段获取 Apache 服务 器和浏览器之间的通信内容
- Apache Web 服务内容威胁:攻击者利用网站服务的漏洞,修改网页信息或者发布虚假信息。典型实例有网页恶意篡改和网络钓鱼
- Apache Web 服务器拒绝服务威胁:攻击者通过某些手段使服务器拒绝对 HTTP 应答。这使得 Apache 对系统资源(CPU 时间和内存) 需求剧增,最终造成系统变慢甚至完全瘫痪。
Apache Web 安全机制
Apache Web 安全增强
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
