如何解決 Apache 上網站弱點掃描的 Weak SSL Cipher 問題?

介紹 傳輸層安全性協定 (TLS) 和安全通訊端層 (SSL) 協議提供了一種機制來幫助保護客戶端和 Web 服務器之間傳輸的數據的真實性、機密性和完整性。這種保護機制的強度由身份驗證、加密和雜湊演算法決定。這些統稱為密碼套件 – 選擇用於通過 TLS/SSL 通道傳輸敏感信息。大多數網絡服務器都支持一系列不同強度的密碼套件(Cipher Suite)。例如,使用弱密碼或長度不足的加密密鑰可以使攻擊者破壞保護機制並竊取或修改敏感信息。 解決方法 可參考 Apache 官方文章:https://httpd.apache.org/docs/trunk/ssl/ssl_howto.htm

閱讀更多

如何解決 Apache 上網站弱點掃描的 Weak SSL Protocol 問題?

介紹 Weak SSL Protocol 通常意味著你的 Apache 支持過時的協議,這些協議不能提供足夠的安全性。 TLS 1.0/1.1 Protocol 和 SSL 2.0/3.0 Protocol 已經過時,TLS 1.0 容易受到某些攻擊。這些都不應該被支持。 解決方法 可參考 Apache 官方文章:https://httpd.apache.org/docs/trunk/ssl/ssl_howto.html Apache 的伺服器架設可以根據此篇文章 以下解決方法可能會根據架設環境的不同,有不同的修改方式,但是步驟上基本上是一樣。 1. 修改 default-ssl.conf d

閱讀更多

如何解決網站弱點掃描的 Cross-Site Scripting 問題?(PHP)

介紹 跨網站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了 HTML 以及使用者端手稿語言。 XSS 攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使使用者載入並執行攻擊者惡意製造的網頁程式。這些惡意網頁程式通常是 JavaScript,但實際上也可以包括 Java,VBScript,ActiveX,Flash 或者甚至是普通的 HTML。攻擊成功後,攻擊者可能得到更高的權限(如執行一些

閱讀更多

如何解決 Apache 上網站弱點掃描的 Cross-Frame Scripting 問題?

介紹 網站弱點掃描如果有列到 Cross-Frame Scripting 這一項弱點,上網查詢後是這原因「此 URL 可被嵌入在測試 網頁的框架中,惡意攻擊者可於框架外建立釣魚頁面,進而騙取使用者做出意想之外的行為」。 解決方法 依照伺服器類型會有不同的解法,可參考以下文章 https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Frame-Options 在 Ubuntu 的 Apache 伺服器解決方法 Apache 的伺服器架設可以根據此篇文章 以下解決方法可能會根據架設環境的不同,有不同的修改方式,但是步驟上基本上是一樣。

閱讀更多