Apache服务器开启mod_info模块危害

作者:linux120 发布时间:February 5, 2013 分类:服务器配置

描述:

目标Apache服务器的开启了mod_info模块的server-info功能。

通过请求/server-info可获取关于Apache服务器配置的敏感信息。

危害:

服务器的server-info信息中包含了类似服务器加载的模块、版本、根文档路径、配置文件路径等敏感信息,攻击者可以利用这些信息进行下一步的攻击。

解决方案:

1、如非必要,关闭server-info功能。
2、如该功能确需开启,请对该功能的访问实施限制,只限受信主机访问,如,按照如下方式配置httpd.conf文件使得只有某些受信IP才能访问该功能:

SetHandler server-info
Order allow,deny
# Allow access from server itself
Allow from 127.0.0.1
# Additionally, allow access from local workstation
Allow from 218.5.74.111

标签: none

评论已关闭