Apache config hibák a test.hexaa.eduid.hu-n
- Apache default file található itt: /icons/README
- Apache szerver verzio elavult. Apache/2.2.22 ehelyett legalább 2.2.26-os kellene.
- Apache inodokat szivárogtat: http://www.rapid7.com/db/vulnerabilities/apache-httpd-cve-2003-1418
- Be kellene kapcsolni a Strict-Transport-Security HTTP fejlécet. ehhez kapcsolodik még a secure cookie és a http-only cookie beállitás ezt külön issue-ba veszem.
- A szerver a deflate miatt BREACH attack-ra sérülékeny, deflate-et ki kell kapcsolni.
- mod_negotation Multiview-el be van kapcsolva file brute force támadás lehetséges. Ki kellene kapcsolni,
- anti-clickjacking X-Frame-Options kellene küldeni a header-ben. https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet
- apache default file enumeralható: /icons/README szuksegtelen fileokat törölni kellene.
index.html-is van és enumeralhato is a multiview miatt.