apache2.2.15漏洞解决办法

1.服务器扫面

■ HTTP TRACE Method Enabled

说明：

Apache服务器启用了TRACE Method。

1.TRACE_Method是HTTP（超文本传输）协议定义的一种协议调试方法，该方法会使服务器原样返回任意客户端请求的任何内容。

2. 由于该方法会原样返回客户端提交的任意数据，因此可以用来进行跨站脚本简称XSS攻击，这种攻击方式又称为跨站跟踪攻击简称XST。

危害：

1. 恶意攻击者可以通过TRACE Method返回的信息了解到网站前端的一些信息，如缓存服务器等，从而为下一步的攻击提供便利。

2.恶意攻击者可以通过TRACE Method进行XSS攻击

3.即使网站对关键页面启用了HttpOnly头标记和禁止脚本读取cookie信息，那么通过TRACE Method恶意攻击者还是可以绕过这个限制读取到cookie信息。

解决方案：

在httpd.conf的尾部添加：

TraceEnable off

■ Missing HttpOnly Flag From Cookie

说明：

利用js读取在浏览器document对象中储存的Cookie信息，从而获取身份信息进行攻击

解决方案：

给浏览器设置Cookie的头如下：

Set-Cookie: =[; =]

[; expires=][; domain=]

[; path=][; secure][; HttpOnly]

■ Click Jacking

说明：

Clickjacking（点击劫持）是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年首创的。

是一种视觉欺骗手段，在web端就是iframe嵌套一个透明不可见的页面，让用户在不知情的情况下，点击攻击者想要欺骗用户点击的位置。

解决方案：

X-Frame-Options HTTP 响应头，可以指示浏览器是否应该加载一个iframe中的页面。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。

X-FRAME-OPTIONS

X-Frame-Options共有三个值：

DENY:任何页面都不能被嵌入到iframe或者frame中。

SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。

ALLOW-FROM URI:页面自能被指定的Uri嵌入到iframe或frame中。

APACHE配置X-FRAME-OPTIONS

在站点配置文件httpd.conf中添加如下配置，限制只有站点内的页面才可以嵌入iframe。

Header always append X-Frame-Options SAMEORIGIN

配置之后重启apache使其生效。该配置方式对IBM HTTP Server同样适用。

如果同一apache服务器上有多个站点，只想针对一个站点进行配置，可以修改.htaccess文件，添加如下内容：

Header append X-FRAME-OPTIONS "SAMEORIGIN"

■ Apache HTTPD: error responses can expose cookies (CVE-2012-0053)

说明：

Apache服务器2.2.0-2.2.21版本存在一个漏洞（CVE-2012-0053），攻击者可通过给网站植入超大的Cookie，使得HTTP头超过apache的LimitRequestFieldSize（最大请求长度）8192字节，apache便会返回400错误，状态页中就包含了http-only保护的cookies。

解决方案：

Apache2.2.22及以上版本已经修复此问题，升级即可解决。