（2）緩沖區(qū)溢出的安全缺陷

　　該方法攻擊者利用程序編寫的一些缺陷，使程序偏離正常的流程。程序使用靜態(tài)分配的內(nèi)存保存請(qǐng)求數(shù)據(jù)，攻擊者就可以發(fā)送一個(gè)超長請(qǐng)求使緩沖區(qū)溢出。比如一些Perl編寫的處理用戶請(qǐng)求的網(wǎng)關(guān)腳本。一旦緩沖區(qū)溢出，攻擊者可以執(zhí)行其惡意指令或者使系統(tǒng)宕機(jī)。

　　（3）被攻擊者獲得root權(quán)限的安全缺陷

　　該安全缺陷主要是因?yàn)锳pache服務(wù)器一般以root權(quán)限運(yùn)行(父進(jìn)程)，攻擊者會(huì)通過它獲得root權(quán)限，進(jìn)而控制整個(gè)Apache系統(tǒng)。

　　（4）惡意的攻擊者進(jìn)行“拒絕服務(wù)”(DoS)攻擊的安全缺陷

　　這個(gè)最新在6月17日發(fā)現(xiàn)的漏洞，它主要是存在于Apache的chunk encoding中，這是一個(gè)HTTP協(xié)議定義的用于接受web用戶所提交數(shù)據(jù)的功能。 利用黑客程序可以對(duì)于運(yùn)行在FreeBSD 4.5, OpenBSD 3.0 / 3.1, NetBSD 1.5.2平臺(tái)上的Apache服務(wù)器均可進(jìn)行有效的攻擊.

　　所有說使用最高和最新安全版本對(duì)于加強(qiáng)Apache Web服務(wù)器的安全是至關(guān)重要的。請(qǐng)廣大Apache服務(wù)器管理員去http://www.apache.org/dist/httpd/下載補(bǔ)丁程序以確保其Web服務(wù)器安全！

　　三、正確維護(hù)和配置Apache服務(wù)器

　　雖然Apache服務(wù)器的開發(fā)者非常注重安全性，由于Apache服務(wù)器其龐大的項(xiàng)目，難免會(huì)存在安全隱患。正確維護(hù)和配置Apache Web服務(wù)器就很重要了。我們應(yīng)注意的一些問題：

　　（1）Apache服務(wù)器配置文件

　　Apache Web服務(wù)器主要有三個(gè)配置文件，位于/usr/local/apache/conf目錄下。這三個(gè)文件是：

　　httpd.con----->主配置文件
　　srm.conf------>填加資源文件
　　access.conf--->設(shè)置文件的訪問權(quán)限

　　注：具體配置可以參考：http://httpd.apache.org/docs/mod/core.html

　　（2）Apache服務(wù)器的日志文件

　　我們可以使用日志格式指令來控制日志文件的信息。使用LogFormat "%a %l"指令，可以把發(fā)出HTTP請(qǐng)求瀏覽器的IP地址和主機(jī)名記錄到日志文件。出于安全的考慮，在日志中我們應(yīng)知道至少應(yīng)該那些驗(yàn)證失敗的WEB用戶，在http.conf文件中加入LogFormat "%401u"指令可以實(shí)現(xiàn)這個(gè)目的。這個(gè)指令還有其它的許多參數(shù)，用戶可以參考Apache的文檔。另外，Apache的錯(cuò)誤日志文件對(duì)于系統(tǒng)管理員來說也是非常重要的，錯(cuò)誤日志文件中包括服務(wù)器的啟動(dòng)、停止以及CGI執(zhí)行失敗等信息。更多請(qǐng)參看Apache日志系列1-5。

　　（3）Apache服務(wù)器的目錄安全認(rèn)證

　　在Apache Server中是允許使用 .htaccess做目錄安全保護(hù)的，欲讀取這保護(hù)的目錄需要先鍵入正確用戶帳號(hào)與密碼。這樣可做為專門管理網(wǎng)頁存放的目錄或做為會(huì)員區(qū)等。 

　　在保護(hù)的目錄放置一個(gè)檔案，檔名為.htaccss