[TOC] ## 使用 HTTP 动词篡改的认证旁路 修改``.htaccess``文件,添加代码 ``` <LimitExcept GET POST> Require all denied </LimitExcept> ``` 注: apache2.2使用的: ```      Order allow,deny      Allow from all ``` 在apache2.4变为:   ``Require all granted`` apache2.2使用的: ``` Order allow,deny Deny from all ``` 在apache2.4变为:`` Require all denied`` ## 框架钓鱼 修改``http.conf``文件并重启apache 1. 添加``Header always append X-Frame-Options SAMEORIGIN`` 2. 取消``LoadModule headers_module modules/mod_headers.so``的注释 ## iframe点击劫持 1. 可在入口文件添加```header('X-Frame-Options:DENY');``` 2. apache下可在`httpd.conf`中添加`Header always append X-Frame-Options DENY` 3. 在`.htaccess`中添加`Header always append X-Frame-Options DENY` `X-Frame-Options`有三个值: `DENY`该页面不允许在iframe中显示,哪怕是相同域名也不行 `SAMEORIGIN`可以在相同域名的iframe中显示 `ALLOW-FROM uri`在指定域名的iframe中可以显示 ## 监测到目标服务器启用了TRACE方法 在.htaccess中添加 ``` RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* - [F] ```