我被告知下面,从SecurityMetrics这必须解决。 但是,该path中没有cgi-bin或perl文件。
当我们在URL中执行以下http://www.domain.com/cgi-bin/perl时,会引发500内部服务器错误。 请把这个指向一个没有被发现的404; 否则,该漏洞显示有效。
Perl.exe当我们在URL中执行下面的http://www.domain.com/cgi-bin/perl.exe时 ,会引起500内部服务器错误。 请把这个指向一个没有被发现的404; 否则,该漏洞显示有效。
他们还说:
我们明白,它可能不存在,但请让您的网站显示。 内部服务器错误不能certificate该文件不存在。 404找不到。
我怎样才能做到这一点? 我使用PHP 5.2.9 / Apache 2.2 / Centos 4.8
最简单的方法是使用mod_rewrite规则。 检查到您的.htaccess
RewriteRule /cgi-bin/perl.exe - [R=404,L] RewriteRule /cgi-bin/perl - [R=404,L]
(从技术上讲, 404不是mod_rewrite发送出去的有效响应代码,但是它的工作原理)
安装modsecurity并添加以下规则:
SecRule ARGS perl.exe "phase:1,log,deny,status:404"
你不仅会“遵守”这个审计(是的,我知道),但是你将拥有一个完整的WAF来保护你免受你应用程序中可能遇到的许多问题的困扰 。