（2）緩沖區(qū)溢出的安全缺陷

　　該方法攻擊者利用程序編寫的一些缺陷，使程序偏離正常的流程。程序使用靜態(tài)分配的內(nèi)存保存請求數(shù)據(jù)，攻擊者就可以發(fā)送一個超長請求使緩沖區(qū)溢出。比如一些Perl編寫的處理用戶請求的網(wǎng)關腳本。一旦緩沖區(qū)溢出，攻擊者可以執(zhí)行其惡意指令或者使系統(tǒng)宕機。

　�。�3）被攻擊者獲得root權限的安全缺陷

　　該安全缺陷主要是因為Apache服務器一般以root權限運行(父進程)，攻擊者會通過它獲得root權限，進而控制整個Apache系統(tǒng)。

　�。�4）惡意的攻擊者進行“拒絕服務”(DoS)攻擊的安全缺陷

　　這個最新在6月17日發(fā)現(xiàn)的漏洞，它主要是存在于Apache的chunk encoding中，這是一個HTTP協(xié)議定義的用于接受web用戶所提交數(shù)據(jù)的功能。 利用黑客程序可以對于運行在FreeBSD 4.5, OpenBSD 3.0 / 3.1, NetBSD 1.5.2平臺上的Apache服務器均可進行有效的攻擊.

　　所有說使用最高和最新安全版本對于加強Apache Web服務器的安全是至關重要的。請廣大Apache服務器管理員去http://www.apache.org/dist/httpd/下載補丁程序以確保其Web服務器安全！

　　三、正確維護和配置Apache服務器

　　雖然Apache服務器的開發(fā)者非常注重安全性，由于Apache服務器其龐大的項目，難免會存在安全隱患。正確維護和配置Apache Web服務器就很重要了。我們應注意的一些問題：

　�。�1）Apache服務器配置文件

　　Apache Web服務器主要有三個配置文件，位于/usr/local/apache/conf目錄下。這三個文件是：

　　httpd.con----->主配置文件
　　srm.conf------>填加資源文件
　　access.conf--->設置文件的訪問權限

　　注：具體配置可以參考：http://httpd.apache.org/docs/mod/core.html

　�。�2）Apache服務器的日志文件

　　我們可以使用日志格式指令來控制日志文件的信息。使用LogFormat "%a %l"指令，可以把發(fā)出HTTP請求瀏覽器的IP地址和主機名記錄到日志文件。出于安全的考慮，在日志中我們應知道至少應該那些驗證失敗的WEB用戶，在http.conf文件中加入LogFormat "%401u"指令可以實現(xiàn)這個目的。這個指令還有其它的許多參數(shù)，用戶可以參考Apache的文檔。另外，Apache的錯誤日志文件對于系統(tǒng)管理員來說也是非常重要的，錯誤日志文件中包括服務器的啟動、停止以及CGI執(zhí)行失敗等信息。更多請參看Apache日志系列1-5。

　�。�3）Apache服務器的目錄安全認證

　　在Apache Server中是允許使用 .htaccess做目錄安全保護的，欲讀取這保護的目錄需要先鍵入正確用戶帳號與密碼。這樣可做為專門管理網(wǎng)頁存放的目錄或做為會員區(qū)等。 

　　在保護的目錄放置一個檔案，檔名為.htaccss