独学で自宅サーバーを構築しようと思い、ドメインを取得し、64bitwindows10に
apache2.4vc15をインストールしました。
セキュリティー強化の為にhttpd.confを変更してnikto2で脆弱性のチェックを行いました。、
その結果が以下の通りです。
c:>perl nikto.pl -h localhost
Server: Apache/2.4.35 (Win64)
- Server leaks inodes via ETags, header found with file /, fields: 0x2e 0x578b7228647cb
- Uncommon header 'x-frame-options' found, with contents: DENY
- Allowed HTTP Methods: GET, POST, OPTIONS, HEAD
- 6544 items checked: 0 error(s) and 3 item(s) reported on remote host
- End Time: 2018-10-22 13:09:25 (GMT9) (13 seconds)
httpd.confへの変更も反映されておりました。
しかしながら、ドメイン名で脆弱性のチェックを行うと全然違った結果が返ってきました。
c:>perl nikto.pl -h xxxx.com
/plugins
- Nikto v2.1.5
- Target IP: xxx.xxx.xx.xxx
- Target Hostname: xxxx.com
- Target Port: 80
- Start Time: 2018-10-22 10:50:02 (GMT9)
-
Server: Apache/1.3.19 (Unix)
-
The anti-clickjacking X-Frame-Options header is not present.
-
No CGI Directories found (use '-C all' to force check all possible dirs)
-
OSVDB-27487: Apache is vulnerable to XSS via the Expect header
-
Apache/1.3.19 appears to be outdated (current is at least Apache/2.2.22). Apache 1.3.42 (final release) and 2.0.64 are also current.
-
OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
-
OSVDB-838: Apache/1.3.19 (Unix - Apache 1.x up 1.2.34 are vulnerable to a remote DoS and possible code execution. CAN-2002-0392.
-
OSVDB-4552: Apache/1.3.19 (Unix - Apache 1.3 below 1.3.27 are vulnerable to a local buffer overflow which allows attackers to kill any process on the system. CAN-2002-0839.
-
OSVDB-2733: Apache/1.3.19 (Unix - Apache 1.3 below 1.3.29 are vulnerable to overflows in mod_rewrite and mod_cgi. CAN-2003-0542.
-
/ - Requires Authentication for realm 'PR-S300SE'
-
/ - Requires Authentication for realm 'PR-S300SE'
-
/ - Requires Authentication for realm 'PR-S300SE'
-
OSVDB-3092: /info/: This might be interesting...
-
/ - Requires Authentication for realm 'PR-S300SE'
-
6544 items checked: 0 error(s) and 8 item(s) reported on remote host
-
End Time: 2018-10-22 10:51:00 (GMT9) (58 seconds)
私は、apache/2.4.35をインストールしたのですが、apache/1.3.19になっています。
サーバー関連がよくわかっていないので大変恐縮ですが、以下の疑問にお答えください。
疑問:
1.ドメイン名でのチェックで返ってきているapache/1.3.19はプロバイダーのサーバーの内容でしょうか?
2.ドメイン名で返ってくるIPアドレスでチェックすると、ドメイン名にxxx.osk.mesh.ad.jpと返ってきます。
biglobeとプロバイダー契約をしているのですが、biglobeでの私のドメインなのでしょうか?
3.新しいドメインを取得したので、プロバイダーを解約しても、ネットにつながるでしょうか?
4.それとも Apache/1.3.19 (Unix)はプロバイダーのバージョンなので、私のサーバーには影響ないのでしょうか?
以上よろしくお願いいたします。
otn様 返事が遅くなり大変申し訳ございません。
ネットワーク構成:
ーーーーpr-s300se--ポート80(静的ipマスカレード)--192.168.1.100
これで答えになっているでしょうか?
回答2件
あなたの回答
tips
プレビュー