本文目錄一覽:
- 1、用Apache加的網站怎樣禁止跨站訪問
- 2、如何在Linux下搭建apache服務器
- 3、Apache/PHP環境,怎麼防止WebShell啊,頭疼
- 4、Tomcat怎樣防止跨站請求偽造
- 5、nginx現在有什麼方法防止跨站
- 6、如何防止http TRACE 跨站攻擊
用Apache加的網站怎樣禁止跨站訪問
只有一個辦法,分別安裝多個apache,並且使用不同的運行賬戶(默認是system,需要改掉)
如何在Linux下搭建apache服務器
準備篇:
1、配置防火牆,開啟80端口、3306端口
vi /etc/sysconfig/iptables
-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT #允許80端口通過防火牆
-A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT #允許3306端口通過防火牆
備註:很多網友把這兩條規則添加到防火牆配置的最後一行,導致防火牆啟動失敗,
正確的應該是添加到默認的22端口這條規則的下面
如下所示:
############################## 添加好之後防火牆規則如下所示 ##############################
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT
-A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT
-A INPUT -j REJECT –reject-with icmp-host-prohibited
-A FORWARD -j REJECT –reject-with icmp-host-prohibited
COMMIT
##################################################################################################
/etc/init.d/iptables restart #最後重啟防火牆使配置生效
2、關閉SELINUX
vi /etc/selinux/config
#SELINUX=enforcing #注釋掉
#SELINUXTYPE=targeted #注釋掉
SELINUX=disabled #增加
:wq #保存,關閉
shutdown -r now #重啟系統
安裝篇:
一、安裝Apache
yum install httpd #根據提示,輸入Y安裝即可成功安裝
/etc/init.d/httpd start #啟動Apache
備註:Apache啟動之後會提示錯誤:
正在啟動 httpd:httpd: Could not reliably determine the server’s fully qualif domain name, using ::1 for ServerName
解決辦法:
vi /etc/httpd/conf/httpd.conf #編輯
找到 #ServerName
修改為 ServerName #這裡設置為你自己的域名,如果沒有域名,可以設置為localhost
:wq! #保存退出
chkconfig httpd on #設為開機啟動
/etc/init.d/httpd restart #重啟Apache
二、安裝MySQL
1、安裝MySQL
yum install mysql mysql-server #詢問是否要安裝,輸入Y即可自動安裝,直到安裝完成
/etc/init.d/mysqld start #啟動MySQL
chkconfig mysqld on #設為開機啟動
cp /usr/share/mysql/my-medium.cnf /etc/my.cnf #拷貝配置文件(注意:如果/etc目錄下面默認有一個my.cnf,直接覆蓋即可)
2、為root賬戶設置密碼
mysql_secure_installation
回車,根據提示輸入Y
輸入2次密碼,回車
根據提示一路輸入Y
最後出現:Thanks for using MySQL!
MySql密碼設置完成,重新啟動 MySQL:
/etc/init.d/mysqld restart #重啟
/etc/init.d/mysqld stop #停止
/etc/init.d/mysqld start #啟動
三、安裝PHP5
1、安裝PHP5
yum install php
根據提示輸入Y直到安裝完成
2、安裝PHP組件,使 PHP5 支持 MySQL
yum install php-mysql php-gd libjpeg* php-imap php-ldap php-odbc php-pear php-xml php-xmlrpc php-mbstring php-mcrypt php-bcmath php-mhash libmcrypt
這裡選擇以上安裝包進行安裝
根據提示輸入Y回車
/etc/init.d/mysqld restart #重啟MySql
/etc/init.d/httpd restart #重啟Apche
配置篇
一、Apache配置
vi /etc/httpd/conf/httpd.conf #編輯文件
ServerTokens OS 在44行 修改為:ServerTokens Prod (在出現錯誤頁的時候不顯示服務器操作系統的名稱)
ServerSignature On 在536行 修改為:ServerSignature Off (在錯誤頁中不顯示Apache的版本)
Options Indexes FollowSymLinks 在331行 修改為:Options Includes ExecCGI FollowSymLinks(允許服務器執行CGI及SSI,禁止列出目錄)
#AddHandler cgi-script .cgi 在796行 修改為:AddHandler cgi-script .cgi .pl (允許擴展名為.pl的CGI腳本運行)
AllowOverride None 在338行 修改為:AllowOverride All (允許.htaccess)
AddDefaultCharset UTF-8 在759行 修改為:AddDefaultCharset GB2312 (添加GB2312為默認編碼)
Options Indexes MultiViews FollowSymLinks 在554行 修改為 Options MultiViews FollowSymLinks(不在瀏覽器上顯示樹狀目錄結構)
DirectoryIndex index.html index.html.var 在402行 修改為:DirectoryIndex index.html index.htm Default.html Default.htm
index.php Default.php index.html.var (設置默認首頁文件,增加index.php)
KeepAlive Off 在76行 修改為:KeepAlive On (允許程序性聯機)
MaxKeepAliveRequests 100 在83行 修改為:MaxKeepAliveRequests 1000 (增加同時連接數)
:wq! #保存退出
/etc/init.d/httpd restart #重啟
rm -f /etc/httpd/conf.d/welcome.conf /var/www/error/noindex.html #刪除默認測試頁
二、php配置
vi /etc/php.ini #編輯
date.timezone = PRC #在946行 把前面的分號去掉,改為date.timezone = PRC
disable_functions = passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,escapeshellcmd,dll,popen,disk_free_space,checkdnsrr,checkdnsrr,getservbyname,getservbyport,disk_total_space,posix_ctermid,posix_get_last_error,posix_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid, posix_getppid,posix_getpwnam,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname
#在386行 列出PHP可以禁用的函數,如果某些程序需要用到這個函數,可以刪除,取消禁用。
expose_php = Off #在432行 禁止顯示php版本的信息
magic_quotes_gpc = On #在745行 打開magic_quotes_gpc來防止SQL注入
short_open_tag = ON #在229行支持php短標籤
open_basedir = .:/tmp/ #在380行 設置表示允許訪問當前目錄(即PHP腳本文件所在之目錄)和/tmp/目錄,可以防止php木馬跨站,如果改了之後安裝程序有問題(例如:織夢內容管理系統),可以註銷此行,或者直接寫上程序的目錄/data/
:wq! #保存退出
/etc/init.d/mysqld restart #重啟MySql
/etc/init.d/httpd restart #重啟Apche
測試篇
cd /var/www/html
vi index.php #輸入下面內容
?php
phpinfo();
?
:wq! #保存退出
在客戶端瀏覽器輸入服務器IP地址,可以看到如下圖所示相關的配置信息!
注意:apache默認的程序目錄是/var/www/html
權限設置:chown apache.apache -R /var/www/html
至此,CentOS 6.4安裝配置LAMP服務器(Apache+PHP5+MySQL)教程完成!
Apache/PHP環境,怎麼防止WebShell啊,頭疼
etc/passwd,/etc/init.d目錄本來就是所有用戶都可以訪問的。
與其設置webshell的權限,不如做好web的安全開發,關閉不安全方法;;做好輸入校驗,輸出編碼,防止SQL注入,跨站腳本,XSS;以及安全配置,關閉web容器控制台……
另外就是要做好操作系統的安全防護,用戶名密碼不能太簡單,增加防火牆
只要你的webshell不被非法獲取,不額外設置webshell有什麼關係。
Tomcat怎樣防止跨站請求偽造
對於CSRF,可能一些朋友比較陌生。我們下面先簡單介紹下。
什麼是CSRF呢,我們看下Wikipedia的說明:
Cross-site request forgery,即跨站請求偽造,也稱為 “One Click Attach” 或者”Session Riding”,常縮寫成CSRF。是 通過偽裝來自受信任用戶的請求來利用受信任的網站 。
其中,說起CSRF,經常會舉的一個例子,是這樣的:
用戶A在訪問網上銀行,在銀行網站里進行了一些操作後。
之後點擊了一個陌生的鏈接。而這個鏈接,是用戶B提供的一個惡意網頁W,網頁W內也包含訪問和用戶A相同銀行信息的鏈接,可能是轉帳,也可能是修改密碼。
此時如果A的認證信息還未過期,就會被直接利用,成功幫助W進行了銀行網站的對應操作,而這一切,都是在A不知情的情況下進行的。
為了防範CSRF,常見的方式有:
請求中包含隨機token信息
Cookie中包含csrf token信息
其他的驗證請求頭Refer等…
在Tomcat中,默認提供了一個防範CSRF的好工具: CSRF Prevention Filter 。
Tomcat默認提供了各類的Filter,處理不同的場景和需求。像我們前面介紹過的處理編碼的 Tomcat自帶的設置編碼Filter , 還有進行跨域處理的 Tomcat與跨域問題 等等。今天介紹的CSRF Prevention Filter也是其中的一個。
整個Filter的工作流程可以概括成以下內容:
該Filter為Web應用提供了基本的CSRF 保護。它的filter mapping對應到 /*
並且所有返回到頁面上的鏈接,都通過調用 HttpServletResponse # encodeRedirectURL(String) 或者 HttpServletResponse # encodeURL(String) 進行編碼。實現機制是 生成一個token並且將其保存到session中,URL的encode也使用同樣的token,當請求到達時,會比較請求中的token和session中的token是否一致,只有相同的才允許繼續執行。
我們通過一個例子,深入源碼,來了解下內部的實現細節。
還是使用Tomcat自帶的Manager應用來看下。
在其 web.xml 中,有這樣的配置:
下面的內容是CsrfPreventionFilter的 doFilter 方法,
我們注意到前面的配置里包含一個entryPoints,對照代碼,馬上就能明白,這項配置用來做類似於exclude的功能,在配置中的映射,可以跳過檢查。
而如果沒有在entryPoints中,同時在session存在,但不包含對應的Nonce,就會直接返回 403 (SC_FORBIDDEN)。
如果session不存在,就會在doFilter中走到下面的內容:
做為初次請求,會在session中保存對應的Attribute,同時添加到一個LruCache中。這裡的重點在於,使用了HttpServletResponseWrapper的子類 CsrfResponseWrapper替換了它做為response傳入後續的流程 。
所以,後面所有調用encodeUrl的地方,其實實際調用到的是這個:
public String encodeURL(String url) {
return addNonce (super.encodeURL(url));
}
addNonce對應的,是在傳入URL後面增加csrf token或者是nonce的標識,用於後續請求時的識別。
頁面具體的編碼操作,則是對response的encodeURL的使用,也就是我們上面addNonce的使用:
對應到Manager應用,它的頁面是通過Servlet輸出的,所以具體的邏輯在Java文件中,我們在頁面上的連接觀察到,此時獲取應用列表的請求URL變成了這樣:
? org.apache.catalina.filters.CSRF_NONCE=6BC061DD606D7BA1BDEF7F40657F0C47
每個不在entryPoints中的請求,都會加上org.apache.catalina.filters.CSRF_NONCE=6BC061DD606D7BA1BDEF7F40657F0C47
這種形式的URL輸出,就是在頁面上調用encodeURL的結果,對應的Manager中的代碼是這個樣子:
以上,就是CSRF Prevetion Filter實現的原理和細節。當然,上面返回403的地方,以及生成nonce的地方,都可以通過Filter提供的參數來進行配置,分別對應到denyStatus和randomClass。後者需要提供一個Random的實現。
nginx現在有什麼方法防止跨站
Nginx防跨目錄與跨站配置方法
Nginx有一個缺陷,就是沒有像apache的php_value_basedir給我們限制php文件訪問目錄,PHP低版本下,fastcgi 模式
下open_base設置無效,PHP在PHP5.3.3以上已經增加了HOST配置,可以起到防跨站、跨目錄的問題
如果你是PHP 5.3.3以上的版本,可以修改/usr/local/php/etc/php.ini在末尾里加入:
[HOST=111cn.net]
代碼如下 複製代碼
open_basedir=/home/wwwroot/111cn.net/:/tmp/
[PATH=/home/wwwroot/111cn.net]
open_basedir=/home/wwwroot/111cn.net/:/tmp/
修改好了。
最後重啟下php-fpm:sudo /etc/init.d/php-fpm restart
OK,。這樣設置後。就能增強系統的安全性,PHP目前,折騰也只能在他所在的目錄下設置啦
如果你不是php5.3.3以上版本我們就只能如下操作了
1、解壓php源代碼不細說了。
2、執行編譯./configure — (自帶參數)
3、修改源代碼。此文件位於main/fopen_wrappers.c
代碼如下 複製代碼
/* {{{ php_check_open_basedir
*/
PHPAPI int php_check_open_basedir_ex(const char *path, int warn TSRMLS_DC)
{
/* Only check when open_basedir is available */
if (PG(open_basedir) *PG(open_basedir)) {
char *pathbuf;
char *ptr;
char *end;
char *env_doc_root;
if(PG(doc_root)){
env_doc_root = estrdup(PG(doc_root));
}
else{
env_doc_root = sapi_getenv(“DOCUMENT_ROOT”, sizeof(“DOCUMENT_ROOT”)-1 TSRMLS_CC);
}
if(env_doc_root){
int res_root = php_check_specific_open_basedir(env_doc_root, path TSRMLS_CC);
efree(env_doc_root);
if (res_root == 0) {
return 0;
}
if (res_root == -2) {
errno = EPERM;
return -1;
}
}
// 添加的內容結束
pathbuf = estrdup(PG(open_basedir));
ptr = pathbuf;
while (ptr *ptr) {
end = strchr(ptr, DEFAULT_DIR_SEPARATOR);
if (end != NULL) {
*end = ”;
end++;
}
if (php_check_specific_open_basedir(ptr, path TSRMLS_CC) == 0) {
efree(pathbuf);
return 0;
}
ptr = end;
}
if (warn) {
php_error_docref(NULL TSRMLS_CC, E_WARNING, “open_basedir restriction in effect. File(%s) is not
within the allowed path(s): (%s)”, path, PG(open_basedir));
}
efree(pathbuf);
errno = EPERM; /* we deny permission to open it */
return -1;
}
/* Nothing to check… */
return 0;
}
/* }}} */
然後執行
代碼如下 複製代碼
make ZEND_EXTRA_LIBS=’-liconv’ make install
cp php.ini-dist /usr/local/php/etc/php.ini最後修改php.ini中的open_basedir改為:open_basedir =
“/var/tmp/:/tmp/”
如何防止http TRACE 跨站攻擊
如果一台 Web Server 支持 Trace 和 / 或 Track 方式,那麼它一定存在跨站腳本漏洞,將有可能受到跨站攻擊。 Trace 和 Track 是用來調試 Web 服務器連接的 HTTP 方式。
我們通常在描述各種瀏覽器缺陷的時候,把“Cross-Site-Tracing”(跨站攻擊)簡稱為 XST。
攻擊者可以利用此漏洞欺騙合法用戶並得到他們的私人信息。
解決方案:禁用 Trace 和 / 或 Track 方式。
針對 Apache,可以藉助 mod_rewrite 模塊來禁止 HTTP Trace 請求。只要在各虛擬主機的配置文件里添加如下語句:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* – [F]
補充其他 Web Server 的解決方案:
1、Microsoft IIS
使用 URLScan 工具禁用 HTTP Trace 請求,或者只開放滿足站點需求和策略的方式。
2、Sun ONE Web Server releases 6.0 SP2 或者更高的版本:
在 obj.conf 文件的默認 object section 里添加下面的語句:
Client method=”TRACE”
AuthTrans fn=”set-variable”
remove-headers=”transfer-encoding”
set-headers=”content-length: -1″
error=”501″
/Client
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/301658.html
微信掃一掃 
支付寶掃一掃 