服务器运维之网站漏洞

以前在简书上发布了一份网站运维过程中经过360扫描服务器和应用程序( 简书地址 )，发现的若干问题，现在继续进行，我想这些漏洞，在我们平常的代码编写中是不会注意到的。

1.nginx 安全漏洞（CVE-2018-16843）

详细描述：
nginx是由俄罗斯的程序设计师Igor Sysoev所开发的一款轻量级Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器。nginx 1.15.6和1.14.1之前的版本的HTTP/2实现过程中存在安全漏洞。攻击者可利用该漏洞消耗大量的内存空间。
解决方法：
这种漏洞可能是最常见的漏洞了，解决方式最好的就是升级nginx好了，一了百了。当然针对特定的漏洞，官网也会给出相应的解决方法，不想升级的，也可以直接根据官网的知道方式进行修复，修复连接

2.远端WWW服务支持TRACE请求

详细描述：
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求，该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求，结合其它浏览器端漏洞，有可能进行跨站脚本攻击，获取敏感信息，比如cookie中的认证信息，这些敏感信息将被用于其它类型的攻击。
解决方法：
管理员应禁用WWW服务对TRACE请求的支持。

补充说明：
网上一搜，很多都只写了如何解决Apache的这个问题，而且前篇一律，一模一样，但是很少有人能详细的说明IIS如何配置。经过多方探讨，我找到了官网关于IIS的UrlScan安装和配置方法。具体的安装和配置方法看我的另一篇文章：Post not found: IIS安装和配置UrlScan IIS安装和配置UrlScan,打开urlscan.ini，在[DenyVerbs]条目下添加一行TRACE就可以了，然后重启IIS服务器。对于Apache中修改这个问题，需要注意的是：

(1) 停止Apache

(2) 修改httpd.conf配置文件

1
2
3
4
5
6
7
8
9
10
11

# 首先，激活rewrite模块(去掉符号#)
LoadModule rewrite_module modules/mod_rewrite.so
# 在IfModule mod_rewrite.c节中添加如下代码，如果没有这个节点，就新建
<IfModule mod_rewrite.c>
 # 启用Rewrite引擎
 RewriteEngine On
 # 对Request中的Method字段进行匹配：^TRACE 即以TRACE字符串开头
 RewriteCond %{REQUEST_METHOD} ^TRACE
 # 定义规则：对于所有格式的来源请求，均返回[F]-Forbidden响应
 RewriteRule .* - [F]
</IfModule>

(3) 启动Apache