13.05.2007, 20:54
|
|
Участник форума
Регистрация: 03.07.2006
Сообщений: 147
Провел на форуме:
438137
Репутация:
66
|
|
По поводу mod_security. А его кто-нибудь вообще использует?
Просто пытаться исправлять бреши веб-приложений с помощью сервера - это неправильно.
Так же надо добавить, что если кто захочет его использовать, то проще заюзать уже готовые, идующие в комплекте с mod_security, наборы правил (в том числе и против XSS, SQL inj, и так далее).
При этом отключаем службу индексации каталогов в
/etc/httpd/conf/httpd.conf :
Код:
ServerSignature Off
Причём тут служба индексации и подпись сервера?
А где ServerTokens?
Код:
#
# ServerTokens
# This directive configures what you return as the Server HTTP response
# Header. The default is 'Full' which sends information about the OS-Type
# and compiled in modules.
# Set to one of: Full | OS | Minor | Minimal | Major | Prod
# where Full conveys the most information, and Prod the least.
#
ServerTokens Prod
#
# Optionally add a line containing the server version and virtual host
# name to server-generated pages (internal error documents, FTP directory
# listings, mod_status and mod_info output etc., but not CGI generated
# documents or custom error documents).
# Set to "EMail" to also include a mailto: link to the ServerAdmin.
# Set to one of: On | Off | EMail
#
ServerSignature EMail
Последний раз редактировалось pento; 13.05.2007 в 20:58..
|
|
|