WEB服务器返回错误号屏蔽
为了不让网站攻击者获取服务器OS(操作系统类型和版本号)和WEB(apache和IIS)服务信息。如何屏蔽掉403等错误,让他直接返回404错误呢?
web为APACHE和IIS
以下是扫描的结果
GET /~root/ HTTP/1.1
Cookie: JSESSIONID=96B19C59DC23F0527C33524F23999DB5
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: wwwwwwwww
2010-5-1 19:37:22 155/1413
HTTP/1.1 403 Forbidden
Content-Length: 327
Date: Thu, 29 Apr 2010 11:31:07 GMT
Server: Apache
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /~root/
on this server.</p>
<p>Additionally, a 403 Forbidden
error was encountered while trying to use an ErrorDocument to handle the
request.</p>
</body></html>
响应中的验证:
• HTTP/1.1 403 Forbidden
推理:
测试尝试了检测服务器上的隐藏目录。403 Forbidden 响应泄露了存在此目录,即使不允
许对其进行访问。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(4)
我来帮着顶。。。
学习了,我尝试一下
system: /etc/issue.net , 最好下一个工具fpf来修改,也可以对源程序进行修改
apache : serversignature off
servertokens Prod
自己顶一个,都光看不顶呢