使用 Nikto 更好地保护服务器并理解输出

使用 Nikto 更好地保护服务器并理解输出
Im getting these output for the server I am testing against. 

- Nikto v2.1.4
---------------------------------------------------------------------------
+ Target IP:          
+ Target Hostname:    
+ Target Port:        80
+ Using Encoding:     
+ Start Time:        
---------------------------------------------------------------------------
+ Server: Apache
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ ETag header found on server, inode: 923575, size: 29, mtime: 0x4e4e14249db6a
+ Default account found for 'phpMyAdmin Setup' at /phpmyadmin/setup (ID '', PW '0000'). Deutsche Telekomm T-Sinus 130 DSL.
+ 6456 items checked: 0 error(s) and 2 item(s) reported on remote host
+ End Time:           
---------------------------------------------------------------------------
+ 1 host(s) tested

这里有令我担心的几个问题,我该如何解决呢?

服务器:Apache

在服务器上找到 ETag 标头

我很惊讶它默认如此开放。我可能永远不会注意到它。

在 /phpmyadmin/setup 上找到“phpMyAdmin Setup”的默认帐户(ID“”,密码“0000”)。德国电信 T-Sinus 130 DSL。

答案1

电子标签是用于确定客户端(Web 浏览器)是否已拥有文档最新版本的标准。如果有,则只需从本地缓存中加载即可。如果没有,则请求新版本。您可以通过将这两个指令放入 httpd.conf 文件中来禁用它:

FileETag None
Header unset ETag

关于phpMyAdmin,配置了什么身份验证模式?如果你使用“配置”那么我建议切换到“饼干”模式,因为存在有人可以利用它并从配置文件中读取它的风险。 提到的身份验证模式描述如下这里。

相关内容