数据库安全漏洞修复

由于 实验室网站需要开通外网服务，学校安排了安全漏洞检测，共发现安全漏洞3个，其中高危0个、中危1个、低危2个。存在的安全隐患主要包括目录浏览、X-Frame-Options Header未配置等安全漏洞，可能将造成用户信息泄露等危害。

中危：目录浏览漏洞

Web中间件如果开启了目录浏览功能，当用户访问Web应用时，Web服务器会将Web应用的目录结构、文件信息返回给客户端，攻击者可能利用这些敏感信息对Web应用进行攻击，如数据库脚本SQL文件路径泄露、程序备份压缩文件路径泄露等。攻击者可针对性进行攻击，获取敏感目录信息。

修复

我主要修改了配置文件，关闭目录浏览功能，具体就是在Apache配置文件httpd.conf中将Options Indexes FollowSymLinks注释掉了，从而禁用了目录浏览功能。

低危：X-Frame-Options Header未配置

X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在"frame"或"iframe"标签中显示，以此使网站内容不被其他站点引用和免于点击劫持攻击。攻击者可利用此漏洞可进行点击劫持攻击，可能用于钓鱼攻击等。

修复

在Apache配置文件httpd.conf添加"Header always append X-Frame-Options SAMEORIGIN"即可。

低危：允许trace方法

TRACE是一种HTTP方法，允许TRACE方法的Web服务器存在跨站脚本漏洞。 实施攻击要素：

• 需要目标Web服务器允许TRACE参数；
• 需要一个用来插入XST代码的地方；
• 目标站点存在跨域漏洞。

trace为不安全的http方法，开启该方法网站可能存在跨站，造成跨站脚本攻击。

修复

在Apache配置文件httpd.conf中启用rewrite模块，从而禁用了trace。