要约束对一个网页的拜访,可运用Apache和第三方供给的身份认证模块和 *** 来验证用户的凭证(如用户名和暗码)。一些模块支撑经过各种数据库(包含NIS和LDAP)进行身份认证。
用户认证指令一般放置在.htaccess文件中。下面是运用Apache默许身份认证模块(mod_auth)的一个根本.htaccess文件。当这个文件放置在/var/www中时,会导致Apache要求用户输入暗码进行验证,然后浏览器才干拜访/var/www目录层次结构中的内容。应用时,要用本地服务器的相应值进行替换。
# cat .htaccess
AuthUserFile /var/www/.htpasswd
AuthGroupFile /dev/null
AuthName "Browser dialog box query"
AuthType Basic
require valid-user
/var/www/.htpasswd是一个.htpasswd文件的典型肯定路径名,用户在要求输入用户名和暗码的对话框中会看到字符串Browser dialog box query。
前面.htaccess文件的第二行封闭组功用。第四行指定用户的身份认证类型为Basic,这也是mod_auth模块的默许设置。最终一行告知Apache哪些用户能够拜访受维护的目录。valid-user条目会授权任何用户(用户名在Apache暗码文件中而且输入的暗码正确)拜访该目录。
只需Apache能够读取其暗码文件,该文件可放在体系上的任何地方。把这个文件与.htaccess文件放在同一目录下也是安全的,由于默许情况下,Apache将不会对姓名以.ht最初的任何文件的恳求进行回复。可是必定不要更改httpd.conf装备文件,以防Apache对姓名以.ht最初的文件的恳求进行回复。
下面的指令将在作业目录中创立(–c)一个带有Sam条目的.htpasswd文件。省掉–c选项能够在现有.htpasswd文件中增加用户或更改暗码。
$ htpasswd -c .htpasswd sam
New password:
Re-type new password:
Adding password for user sam
默许的httpd.conf文件包含用于/var/www的AllowOverride None指令。要启用Apache来处理用户认证指令(如读取.htaccess文件),有必要将这个指令更改为AllowOverride AuthConfig或将其删去。
在Apache已装备为可处理.htaccess文件后,当它收到对文件的恳求时,有必要从所恳求的文件向上遍历目录层次结构一直到根目录,查找.htacess文件,以确认它是否能够供给该恳求的文件。此搜索可能会影响功能。一般情况下功能下降不太严峻,但假如功能很要害,则这个问题将很扎手。
一转眼从刚开端看关于安全的根底书本到现在现已十个月的时刻了,对浸透测验的爱好也不断的添加,由于刚开端作业的需求,只来得及看一些常见缝隙的基本原理就开端跟从老师傅开端浸透测验的作业。现在还记得第一次自己...
0×01 研讨布景 在剖析了俄罗斯人被曝光的几个银行木马的源码后,发现其大多均存在经过绑架浏览器数据包来获取用户个人信息的模块,经过截获浏览器内存中加密前或解密后的数据包来得到数据包的明文数据。在De...
UnregisterHost unregister_host = 2; UnregisterHost(int32 host_id);在2018年7月中旬,Managed Defense承认了针对同一职...
5、资质证书岂能如此挂靠· 区块链创业公司AriseBank的首席执行官(CEO)因涉嫌欺诈投资者400万美元被FBI拘捕,将面对120年拘禁。 这种传达方法的呈现,导致2018年11月GandCra...
#东西:Burp suite[1][2]黑客接单渠道一、前语IP: 10.211.55.18 该元素的首要方针是下载和运转payload文件: System.arraycopy(passwor...
如果没问题,就使用gdb attach主进程(root权限的那个进程),然后断点下在make_child,然后执行apache2ctl graceful,执行完然后在gdb的流程跳到make_chil...