在本文中，咱们将为读者介绍怎么给Apache Web服务器装备暗码维护功用，然后约束没有经过身份验证的联机拜访者的拜访权限，能够向未经身份验证的用户躲藏某些要害的信息；与此同时，咱们还会介绍怎么对该装备存在薄弱环节的体系进行浸透测验。
HTTP根本身份验证（HTTP Basic Authentication）简介
在HTTP业务上下文中，根本的拜访权限认证办法，便是HTTP用户署理在宣布恳求时供给用户名和暗码这种办法。
HTTP根本身份验证(BA)是对Web资源施行拜访操控时最简略的一种办法，由于它无需凭借于cookie、会话标识符或登录页；相反，HTTP根本身份验证只需运用HTTP头部中的规范字段，然后无需进行“握手”。
不过，BA机制并没有为传输的凭证供给机密性维护：在传输中，它们仅仅进行了相应的Base64编码，而没有进行任何加密处理或运用其哈希值。因而，咱们更好将HTTPS与根本身份验证调配运用。
有关更多详细信息，请参阅 *** .org
试验设置要求
· Apache服务器(Ubuntu14.04)
· 浸透测验试验机（Kali Linux）
· 设置暗码身份验证
· 装置Apache有用工具包
首要，让咱们经过下面的指令来装置一个名为“htpasswd”的Apache2有用程序包。实际上，htpasswd的效果便是创立和更新用于存储HTTP用户根本身份验证的用户名和暗码的flat-file。
sudo apt-get install apache2 apache2-utils

创立暗码文件。
现在，咱们需求运用htpasswd指令来创立一个暗码文件；Apache将运用该文件对用户进行身份验证，并运用/etc/apache2装备目录中的躲藏文件“.htpasswd”来存储暗码。
sudo htpasswd -c /etc/apache2/.htpasswd raj
cat /etc/apache2/.htpasswd
gedit etc/apache2/sites-enabled/000-default.conf

在虚拟主机界说中完结拜访操控的装备。
现在，咱们需求将下面的装备保存在000-default.conf文件中。
        AuthType Basic
        AuthName "Restricted Content"
        AuthUserFile /etc/apache2/.htpasswd
        Require valid-user
   

凭借.htaccess文件进行拜访操控。
翻开Apache主装备文件，并经过.htaccess文件启用暗码维护功用，然后，增加下面杰出显现的各行内容。
sudo gedit /etc/apache2/apache2.conf
ServerName localhost

为了启用.htaccess规则的相应处理，咱们需求将/var/www目录的装备块中AllowOverride指令行中的“None”改为“All”；然后，保存该文件，并重新启动apache服务。
    Options Indexes FollowSymLinks
    AllowOverride All
    Require all granted

接下来，需求将.htaccess文件增加到需求约束拜访的目录中。就本文来说，我期望约束关于整个网站的拜访，所以，能够经过约束拜访/var/www/html来完成这一意图，不过，读者能够将该文件放在自己期望约束拜访的恣意目录中:
sudo nano /var/www/html/.htaccess
AuthType Basic
AuthName "Restricted Content"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user
sudo service apache2 restart
在装备.htaccess文件时，咱们相应的目录增加了一些选项。下面，让咱们看看这些装备的意义。
AuthType Basic：为咱们的网站设置根本身份验证。
AuthName“Restricted Contents”：在指令行中显现身份验证的称号。
authuserfile/etc/apache2/.htpasswd：显现身份验证文件的方位。
Require valid-user：现已过身份验证并取得拜访权限的用户才干拜访网站。

对暗码身份验证功用进行承认。
测验在Web浏览器中拜访受限内容，以承认内容是否受到了相应的维护。实际上，这是体系将要求输入用户名和暗码，详细如下所示:

假如您将测验在不进行身份验证的情况下拜访网站，则会回来401过错。

假如您是合法用户，并测验运用有用凭证拜访受暗码维护的网站，例如，咱们现已运用RAJ:123创立了一个帐户来拜访Apache HTTP服务：

[1] [2] [3]  黑客接单网