超级会员免费看
Apache服务器安全与管理全解析
1. 攻击者识别有效用户名机制
攻击者可通过特定机制区分有效和无效用户名,且无需逐个或一次三个地进行识别。像curl(可从http://curl.haxx.se/获取)这样的URL抓取工具能自动完成这种发现。
2. mod_speling模块
开发者将此模块命名为mod_speling而非mod_spelling,颇具意味。尽管名字有讽刺意味,但它能在一定程度上自动纠正URL拼写错误。该模块忽略大小写并支持纠错,但每次传输仅能纠正一处错误,因为它遵循request_rec方案,是基于请求 - 响应系统的一部分。其源码位于httpd - version/modules/mappers。它是最后手段模块,会尽力从客户端请求中得出有效URL,会检查字符串并尝试一次纠错(前提是启用了拼写检查功能)。它仅支持一个指令CheckSpelling,语法如下:
CheckSpelling state
其中,state可以是on或off。需注意,拼写测试仅针对文件或目录,而非用户名。而且,启用此功能需谨慎,因为攻击者可能通过发送包含复杂目录和文件名的连续URI消耗大量内存。该功能在内部网络环境中最为有用,因为在这种环境中,你了解用户身份,攻击不太可能发生。
3. 资源使用相关指令
资源利用是需要面对的问题,若不加以控制,主机可能遭受持续的拒绝服务攻击。以下是限制或减少此类活动的指令:
| 指令 | 说明 |
| ---- | ---- |
| AcceptMut
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
