為了避免自己撰寫出具有安全風險的程式碼而仍不自知,就挑上這堂 從 OWASP Top 10 實現全方位防禦強化 課程。這邊筆記下 Web Server 錯誤所導致的風險。
課程相關資訊
[連結]:https://hiskio.com/courses/1539/lectures/160753
本篇範圍:Chapter 2
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
1. 必須預防使用者藉由 curl 等指令,得知你的 Web Server 為何、版本號、作業系統…等資訊 ( Information Leak )
2. 要預防 Directory Traversal。換言之,就是使用者可以透過瀏覽器來遍例資料夾目錄底下的檔案。Apache 為 Options -Indexes;Nginx 為 autoindex off
3. php.ini 之類的設定檔也要小心
