阿帕奇安全

Question

我需要使用一個Facebook應用程序，但我的網頁返回響應206，而不是200， 使Facebook應用程序返回的HTTP代碼500

我http://developers.facebook.com/tools/debug/og/object?q=http://adserver.leadhouse.net/test/test/index.php測試，並返回206，而不是joomla.it返回200 當他們datae

我這個perl腳本測試相同的捲曲-I響應：http://pastebin.com/NCDv9eTh 和我的網頁是脆弱的，而不是joomla.it好。

我認爲，我的回答是 Facebook debugger : Response 206 和Apache Webserver security and optimization tips

，但我不知道如何改變我的Apache配置之間非常接近。 溶液是到當前頁： www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.35.2 與類似的代碼：

SetEnvIf Range (,.*?){5,} bad-range=1 
    RequestHeader unset Range env=bad-range 

或 httpd.apache.org/docs/ 2.2/mod/core.html＃limitrequestfieldsize

我該如何讓它不易受到我的網頁？

Answer 1

是的，一切都開始與調試臉譜：對話框發送返回500 http代碼與我的頁面返回206 http代碼。 而我的好奇心是專注於HTTP代碼206 DoS漏洞，當我測試perl腳本http://pastebin.com/NCDv9eTh

我彙報一下Apache文檔一些顯著短語：

此漏洞涉及攻擊「拒絕服務」。這意味着 遠程攻擊者在正確的情況下能夠緩慢地將您的服務或服務器緩慢抓取或耗盡可用的內存來爲請求提供服務，從而無法及時爲合法客戶端提供服務。

沒有跡象表明這會導致遠程利用;第三方可能會危及您的安全並獲得 服務器本身的立足點。此漏洞的結果純粹是 拒絕服務的一種方式，它會將服務器宕機並拒絕其他連接到服務器。

使LimitRequestFieldSize解決辦法是不夠的， 你可以修改Range參數諮詢Mitigation款 關於Apache wiki文檔：http://wiki.apache.org/httpd/CVE-2011-3192 返回HTTP代碼之間獲得開關：從206到200 你最好的Apache配置，但您仍然暴露於DoS漏洞。

我說mod_headers這一行：

RequestHeader unset Range 

，現在我的頁面返回的HTTP代碼200 並限制耗盡可用內存來服務請求， 我限制IP連接添加mod_limitipconn使用此代碼：

MaxConnPerIP 10 

Answer 2

我不知道你在這裏談論的是什麼樣的「漏洞」。

表示響應狀態代碼206的Facebook調試器是正常 - 因爲調試程序試圖僅請求第一X（K）從URL字節。如果您的服務器接受這樣的範圍請求，並正確地回答他們，那麼響應代碼將是206

有是沒有漏洞在。

如果這導致您的任何其他問題與您的網站 - 請描述他們的方式，使他們易於理解。