服務器配置安全測試是WEB安全評估的關鍵，一般關注信息泄露、傳輸安全、訪問控制及資源防護等方面。

信息泄露控制
檢查服務器響應頭是否暴露敏感信息。Server頭應去除Nginx/Apache詳細版本號，防止攻擊者針對特定版本漏洞進行利用。錯誤頁面需自定義，避免向用戶返回系統路徑或堆棧信息。某金融系統因Nginx配置缺失server_tokens off;指令，暴露內部IP地址及OpenSSL版本。

傳輸安全配置
HTTPS強制啟用TLS 1.2以上協議，禁用SSLv3及TLS 1.0。密碼套件優先配置ECDHE算法，禁用CBC模式弱加密。通過Qualys SSL Labs測試評級需達到A+。Apache配置需設置SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1，Nginx配置ssl_protocols TLSv1.2 TLSv1.3;。

訪問控制
限制HTTP方法至必要范圍。Nginx配置limit_except GET POST { deny all; }阻斷PUT/DELETE方法。目錄遍歷防護需設置autoindex off;。文件權限控制禁止執行上傳目錄中的腳本，Apache配置php_flag engine off于上傳路徑。

資源請求
設置連接超時與請求大小限制。Nginx配置client_body_timeout 10s; client_header_timeout 10s; client_max_body_size 10M;防止慢速攻擊與大數據包攻擊。頻率限制配置limit_req_zone防御CC攻擊，單IP每秒請求數不超過50次。

頭部增強安全
配置CSP策略防止XSS攻擊：add_header Content-Security-Policy "default-src 'self';"。啟用HSTS強制HTTPS訪問：add_header Strict-Transport-Security "max-age=63072000" always;。X-Frame-Options需設置為DENY防止點擊劫持。

日志監控
訪問日志記錄完整請求信息，錯誤日志記錄級別設置為warn。日志格式包含客戶端IP、請求方法、狀態碼、User-Agent及響應時間。某次安全審計通過分析日志發現掃描行為：單一IP在300秒內發起2000次請求探測不同URL。

測試中需使用專業工具驗證：Nmap掃描開放端口，OpenVAS檢測配置漏洞，SSLscan檢查加密強度。