Apache2 添加 Set-Cookie HttpOnly S
背景:
网警告诉老板,我们的网站有漏洞,要在限时内处理
在被暴打一顿后准备辞职,但贫穷使我冷静,还是先来理一理思路吧。
要解决问题,首先是要定位问题,并且对于程序员来说大数情况下需要反复测试验证,所以第一步先找一个工具帮我们定位问题并可以验证问题的工具
Acunetix 扫描确认漏洞的存在,同时方便修复后验证
再查查自己的服务器版本
ubuntu 18.x + Apache2.4.7
可以开始百度了
存在可能会漏隐私的虚拟机
打开Apache2 http.conf 发现
解决方案:加个#注释掉
#ServerName localhost
需要对OPTIONS做限制,百度一翻
解决方案:在虚拟机中添加
<Location />
<Limit OPTIONS>
Order allow,deny
Deny from all
</Limit>
</Location>
3.Cookie(s) without HttpOnly flag set,Cookie(s) without Secure flag set
这两个问题足足花费了半天时间,各种百度无果,科学走起
比较有参考价值的文章:
http://www.voidcn.com/article/p-baynbovc-btz.html
Header always edit Set-Cookie "(?i)^((?:(?!;\s?HttpOnly).)+)$" "$1; HttpOnly"
Header always edit Set-Cookie "(?i)^((?:(?!;\s?secure).)+)$" "$1; secure"
配置,重启,配置,重启,配置,重启,无果
初级程序员状态下无法解决,只能开启中级程序员状态
理解问题需要再深入再深入,我们真正需要解决的问题如下:
我们需要对传过来的所有Set-Cookie中的值,最后添加上 HttpOnly;Secure标识
中级程序员一般会直逼答案的核心,查apache2的官方文档
http://httpd.apache.org/docs/current/mod/mod_headers.html
Header always edit Set-Cookie "(?i)^((?:(?!;\s?HttpOnly).)+)$" "$1; HttpOnly"
Header always edit Set-Cookie "(?i)^((?:(?!;\s?secure).)+)$" "$1; secure"
#改为
Header always edit* Set-Cookie "(?i)^((?:(?!;\s?HttpOnly).)+)$" "$1; HttpOnly"
Header always edit* Set-Cookie "(?i)^((?:(?!;\s?secure).)+)$" "$1; secure"
保存,重启,再用Acunetix 测试一下,问题解决。