1、Apache UserDir漏洞名称:Apache UserDir 漏洞描述:早期版本的Apache默认会开启UserDir,这个无关功能会泄漏主机的账户名,也可能由于配置不当导致敏感文件被下载。检测方法:在浏览器里输入http://ip/~root ,若目录存在(即HTTP状态码返回403),则说明UserDir开启。如下图所示:
3、目录浏览漏洞名称:Apache 目录浏览漏洞描述:Apache默认配置时允许目录浏览。如果目录下没有索引文件,则会出现目录浏览,导致文件信息泄漏。检测方法:直接访问目录,如果能看到目录下的文件信息,则说明存在目录浏览漏洞。修复方案:在Apache配置文件中,将目录配置中的“Indexes”删除,或者改为“-Indexes”,如下图所示:
5、QHTTP或者其他Web Server404页面XSS漏洞名称:QH哌囿亡噱TTP 404 页面XSS漏洞描述:低版本的QHTTP在返回404页面时,未对URL进行编码,导致出现淌捌釜集XSS漏洞。检测方法:在浏览器里输入http://ip/xxx.xxx?a=<script>alert(0)</script> ,若出现如下弹框,则说明存在XSS漏洞。修复方案:升级QHTTP到2.1及以上版本。升级版本可能带来性能问题,开发人员需要进行相关的性能测试。
8、Tomcat默认页面泄漏漏洞名称:Tomcat默认页面泄漏漏洞描述:Tomcat在安装后存在默认页面。检测方法:直接访问Tomcat的默认页面,若出现如下页面,则说明存在默认页面泄漏漏洞。修复方案:删除这些与运营环境无关的目录。
