http-only型cookie截取及利用

作者:Secer 发布时间:October 22, 2013 分类:Web安全

Apache服务器2.2.0-2.2.21版本存在一个漏洞(CVE-2012-0053),攻击者可通过给网站植入超大的Cookie,使得HTTP头超过apache的LimitRequestFieldSize(最大请求长度)8192字节,apache便会返回400错误,状态页中就包含了http-only保护的cookies。

image 

httpOnly型cookie截取及利用(Apache CVE:2112-0053)

漏洞名称:APACHE Httponly Cookie Disclosure(CVE:2112-0053)
测试目标环境:Windows xp sp3、discuz x2.5、apache2.2.17(漏洞存在的版本)

阅读剩余部分...

Windows下Apache用户认证配置及相关技巧

作者:Secer 发布时间:May 27, 2013 分类:Linux笔记

Linux下同理。

Apache可以对某一目录下的文件进行安全认证,认证方式包括用户密码认证和IP过滤,下面我来一一说明。
首先要让Apache支持.htaccess才可使用认证控制,具体方法请参考:
如何让Apache支持.htaccess
然后编辑Apache2\conf\httpd.conf文件
标准密码认证方式

<Directory "D:\wwwroot">
Options Indexes FollowSymLinks
allowoverride authconfig
order allow,deny 
allow from all 
</Directory>
... 


解释:
“D:\wwwroot”为需要安全认证目标,请根据需要自行修改,可以设置为站点根目录,也可设置为站内子目录(比如管理目录)增强安全性
allowoverride authconfig 认证语句
此段代码的作用是对"D:\wwwroot”进行安全认证
在需要认证目录下建立 .htaccess 文件,在Windows下建立 .htaccess 文件有一个小技巧,正常情况下Windows文件命名规则是不允许建立“ .” 开头的文件,咱们可以编辑好之后另存为.htaccess文件,加入下列内容

AuthName "Login"
AuthType basic
AuthUserFile "D:\user.txt"
require valid-user 


用户密码信息保存在"D:\user.txt",不要将它放在网站目录,以防被下载。
下面我们来用Apache2\bin\htpasswd.exe 来生成密码,例如:

D:\Apache2\bin>htpasswd -cmdps d:\user.txt secer
New password: ***
Re-type new password: ***
Adding password for user secer 


建立名为 secer 的用户 密码是123
可以建立多个帐户
至此,我们已经完成对"D:\wwwroot"目录的密码认证设置,所有登录"D:\wwwroot"目录的用户都要求输出用户名和密码,针对任何地址。
下面举一个IP过滤认证的例子:

<Directory "D:\wwwroot">
Options Indexes FollowSymLinks
allowoverride authconfig
Order deny,allow    #顺序为先拒绝,后允许
Deny from all   #拒绝所有
Allow from 192.168.90.12    #允许某IP、IP段访问
Allow from  localhost   #允许本机访问
AuthName "Login"
AuthType basic
AuthUserFile "D:\user.txt"
require valid-user
</Directory> 
 
image 

LinuxMint安装Lamp

作者:Secer 发布时间:August 9, 2012 分类:Linux笔记,原创文章

LinuxMint安装Apache2 Web服务

VPS 默认有安装Apache2,但如果你删除了,就需要重新安装;如果没有删除,执行下面的命令会退出来,不会对系统产生任何影响。

输入如下命令安装

sudo apt-get install apache2

正常情况下会给出如下提示,说明Apache2默认已经安装好了:


$sudo apt-get install apache2 Reading package lists... Done Building dependency tree... Done apache2 is already the newest version. 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

开启 Apache2 的伪静态

如果希望开启Apache2 伪静态 rewrite 支持,输入如下命令安装

#a2enmod rewrite

正常情况下会给出如下提示,说明已经安装成功:

#a2enmod rewrite
Module rewrite installed; run /etc/init.d/apache2 force-reload to enable.

提示需要重新加载Apache2的配置,由于下一步是安装mysql,所以暂时不用重启。

或出现如下提示,表示已经开启了 rewrite

# a2enmod rewrite
Mudule rewrite already enabled

安装 mysql 数据库服务

安装mysql前,#1的vps需要先关闭apache2,因为mysql的安装会初始化数据,占了很大内存,如果apache2不关闭,有可能导致安装mysql失败。

1 输入如下命令关闭 apache2

$sudo service apache2 stop
如果输入正确,会提示如下信息,表示apache2已经停止
image 

2 输入如下命令安装mysql

$apt-get install mysql-server

如果输入正确,会提示如下信息:

image

等待中……

继续安装 会提示输入 mysql 的 root 用户密码,你可以输入密码后回车,也可以不输入任何密码直接回车。 (不输入密码不会影响到Mysql的安全性,因为Mysql仅仅用于本地监听,但不输入密码会导致后续phpmyadmin无法运行)

阅读剩余部分...

Tomcat VS. Apache:您钟情于哪一款?

作者:Secer 发布时间:March 27, 2012 分类:Linux笔记

导读:原文作者Michael Dorf是一名专业的软件架构师,Web开发者,开源爱好者,最近沉迷于WordPress。他在Java和J2EE开发领域拥有十几年的开发经验。文中探讨了Apache与Apache Tomcat之间的区别,帮助开发者选择更加适宜的Web服务器。

当你选择使用哪种Web服务器时,或许会因它们的差异性和技术细节等方面而困扰。如何区分Web服务器以及如何为你的项目挑选一款最佳的Web服务器,或许对你来说这是一个很难的决定。鉴于Apache目前最流行的一款Web服务器,本文将探讨Apache与Apache Tomcat两者之间的区别,以满足不同开发者的需求。

Apache Web服务器通常比称之为“Apache”或者“httpd”,1995年由Robert McCool和它的团队开发,由Apache软件基金会提供支持与维护。Apache是目前最流行的Web应用服务器,拥有超过一亿的网站用户和占据互联网应用服务器63%的份额以及全球最繁忙网站中有66%采用Apache的(比方说,维基百科网站服务器就是使用Apache)。

阅读剩余部分...