Im getting these output for the server I am testing against.
- Nikto v2.1.4
---------------------------------------------------------------------------
+ Target IP:
+ Target Hostname:
+ Target Port: 80
+ Using Encoding:
+ Start Time:
---------------------------------------------------------------------------
+ Server: Apache
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ ETag header found on server, inode: 923575, size: 29, mtime: 0x4e4e14249db6a
+ Default account found for 'phpMyAdmin Setup' at /phpmyadmin/setup (ID '', PW '0000'). Deutsche Telekomm T-Sinus 130 DSL.
+ 6456 items checked: 0 error(s) and 2 item(s) reported on remote host
+ End Time:
---------------------------------------------------------------------------
+ 1 host(s) tested
这里有令我担心的几个问题,我该如何解决呢?
服务器:Apache
在服务器上找到 ETag 标头
我很惊讶它默认如此开放。我可能永远不会注意到它。
在 /phpmyadmin/setup 上找到“phpMyAdmin Setup”的默认帐户(ID“”,密码“0000”)。德国电信 T-Sinus 130 DSL。
答案1
电子标签是用于确定客户端(Web 浏览器)是否已拥有文档最新版本的标准。如果有,则只需从本地缓存中加载即可。如果没有,则请求新版本。您可以通过将这两个指令放入 httpd.conf 文件中来禁用它:
FileETag None
Header unset ETag
关于phpMyAdmin,配置了什么身份验证模式?如果你使用“配置”那么我建议切换到“饼干”模式,因为存在有人可以利用它并从配置文件中读取它的风险。 提到的身份验证模式描述如下这里。