Sitemi çalıştırmak için ne kullandığımı nasıl gizleyebilirim?

72

Birinin sitemin Drupal kullandığını bilmesini engellemek için yapabileceğim bir şey var mı? Herhangi bir bilinen zayıf noktayı kullanarak saldırabilmek için web sitesini çalıştıran yazılımı algılayan yazılımı kullanarak siteleri tarayan kişilere atıfta bulunuyorum.

Sitenin Drupal kullandığı gerçeğini tamamen gizlemek mümkün değilse, en azından bunları karıştırmak mümkün olabilir (örn., Düğüm sayfalarını URL'lerle aynı hizaya getirerek http://example.com/servlets/<node-id>.jsp)?

hooks 
kiamlaluno
kaynak
76
Drupal'ı gizlemek istemezsin. Drupal harika.
Damien Tournoud
4
Bir başlangıç ​​için CHANGELOG.txt dosyasını root dizininden silmeye ne dersiniz? Hayır ama cidden - bana tam bir zaman kaybı gibi geliyor. Güvenlik güncellemelerini takip edin ve Drupal olduğu gerçeğini gizlemeye gerek yok. Beyaz Saray, Drupal kullandıkları gerçeğini gizliyor mu? Hayır, çatıdan bağırdılar :)
Tom Kirkpatrick
10
Bu durumda gizlilik yoluyla güvenlik daha fazla güvenlik sağlamaz.
Bryan Casler
3
Dackal Cacking: Drupal alanınızı güvenceye almanız için mükemmel bir değerlendirme olan kovadaki bir damla okumak isteyebilirsiniz .
Mawg
2
Güvenlik kullanım durumunun eklendiğini düşünmüyorsanız, işte bir alternatif: ticari gizlilik. Bir işletme, rakiplerinin, sitenin neyden inşa edildiğini kolayca öğrenmelerini istemeyebilir. Veya bir ajans veya danışmanlık, rakiplerini kullandığı mevcut araç yelpazesi hakkında karanlıkta tutmak isteyebilir.
user568458

Yanıtlar:

53

Bu eski ve çoktan cevaplanmış bir soru, ancak son zamanlarda değiştirmeniz gereken tüm şeylerin bir tanımını yazmak için biraz çaba sarfettim :

  • Drupal 7 için meta oluşturucuyu kaldırın.
  • CHANGELOG.txt benzeri masal-metnini kaldır
  • Expires başlığını kontrol edin
  • HTTP 200/404/403 durum kodları için yürüme dizinleri
  • Varsayılan metin mesajlarını arayın - kullanıcının karşılaştığı tüm mesajları düzeltin
  • HTML'ye bak - çekirdekten ve modüllerden gelen varsayılan html, bir işaretçi işaretidir

Temel olarak: Sitenizin Drupal'ı çalıştırdığı gerçeğini gizlemek teknik olarak mümkün olabilir, ancak buna değmeyecek kadar çok zaman harcayacaksınız. Bunun yerine, güvenli hale getirmeye ve güvenli işlemlere odaklanmalısınız (örneğin, güncellemeleri hızlı bir şekilde dağıtabilme, günlükleri izleme vb.).

greggles
kaynak
Yeniden Drupaladlandırılması gereken JavaScript nesnesini unuttun .
Mołot
@ Çok iyi nokta. Mümkün mü? Nasıl yapılacağına dair herhangi bir işaretçi var mı? Demek istediğim, bunu yapmak zamana değmez, bu yüzden nasıl yapılacağına dair daha fazla tavsiye eklemek , sadece o noktadan tüyler çıkarırsa yararlı olur. Umarım söylediğin şeyi yapmak gerçekten zor olur :)
greggles
Drupal dizinindeki toplu regex yerine test ettim ve işe yaradı ... ama bunun gerçekten iyi olduğuna inanmıyorum. Ve elbette her modül güncellemesinde f * @ # kadar.
Mołot
Doğru. Zaman ayırmaya değmez. Daha önemli şeylere odaklanın :)
gregles
101

Tamamen gizleyemezsin. Bunu yapmak için gerekenlerin çoğu, bilgisayar korsanının kesilmesini gerektiriyor. En büyük anlatım, Drupalön sayfadan veya bu konuda herhangi bir sayfadan okunabilen JavaScript değişkenidir.

Sitelerin güvenliğini bir Drupal sitesi olduğunu gizleyerek geliştirmek istiyorsanız, çabalarınız kod incelemelerine, sitenin Drupal ile yapıldığı gerçeğini gizlemeye çalışmaktan daha iyi harcanır.

googletorp
kaynak
7
Kabul. Bir başka ölü teslim, CSS / JS / resim yollarının yapısıdır.
Fuzzy76
2
Ayrıca /node/1nelerin geldiğini görebilir veya HTTP başlıklarını kontrol edebilirsiniz .
Paul Jones
39
Sitenizi gizlilik yoluyla gizlilikle gizlemeye çalışırsanız, zamanınızı boşa harcarsınız.
Dave Reid
6
Yukarıdakilerin tümü ile anlaşmaya varıldı. Artı, daha sonra kaç tane müthiş sitenin
Drupal'ı
: Hangi geerlingguy alakalı biz burada vardı tartışma oldu söylediğini groups.drupal.org/node/113024#comments
coderintherye
42

Yapması çok kolay, kiam!

  • Ters bir proxy kullanın veya can sıkıcı Drupal http başlığını filtrelemek için http arka planınızı özelleştirin
  • Herhangi bir Drupal varsayılan klasörüne http erişimini engelle
  • HTML kaynağınızı yeniden yazmak ve gizlemek için PHP çıktı tamponlamayı kullanın, gereksiz verileri kaldırın
  • URL’lerinizi bozmak için url takma adını veya custom_url_rewrite_in / outbound kullanın
  • Varsayılan 404 hatasını değiştirin, update.php dosyasını kaldırın / değiştirin
  • Birisi öğrenirse başka değişiklikler yapın

Ve son olarak, en azından, sitenizin normal davranışlar için JS veya CSS gerektirmeyen (Görünümler veya Araçlar kullanmayın ...) gerektirmeyen, kullanıcı kimlik doğrulamasını desteklemeyen vb. Olduğundan emin olun. statik bir html sitesi kadar basit olun.

Tamam, insanların sitenizin Drupal'ı çalıştırmadığına inanmasını sağlamak için. Her neyse, gizlilik ile güvenlik yararsızdır.

jcisio
kaynak
jcisio "Her neyse, belirsizliğe göre güvenlik işe yaramaz.", yorumunuzu üstüne eklemelisiniz: P.
arpitr
@arpitr Herkes yapar, bu yüzden ihtiyacım yok;)
jcisio
34

İlgili resmi bir makale ve tartışma vardır aynı .

Yapamazsın Deneme

  • Otomatik saldırılar (en yaygın saldırılar) , istismarlarını denemeden önce sunucuyu bile denetlemez .
    Herhangi bir yüksek profilli sitenin günlükleri incelenmesi sonuçsuz için binlerce talep gösterecektir /AspBB/db/betaboard.mdb _private/cmd.asp /scripts/../../winnt/system32/cmd.exe /wp-login/ /administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi... ve herhangi bir ilişkisiz sistem üzerinde tarihsel başarıları karşısında girişimleri herhangi bir sayıda.
    Açık arttırmalar, işletim sistemi veya CMS’nizde mevcut olmasa bile gerçekleşir. Sitenizi yanlış tanımlamak için ne yaparsanız yapın, amatör bilgisayar korsanları tarafından yine de göz ardı edilecektir.
  • Ne saklayabileceğini düşünüyorsan, herhangi bir sistem için başka ipuçları var .
    Basitçe 'drupal' içeren dizelerin bir kısmını kaldırmak sitenizi herhangi bir makul snooper'a gizlemez. Sayfalarınıza neyin hizmet ettiğini tahmin etmek için kullanılabilecek düzinelerce yol var, hatta bu hizmetlerin Drupal çalıştığını söylemek için özel hizmetler bile var. Sadece anahtar kelimeler Eğer tanımak ve düşünmek bir tehdidin gerçek göstergeler küçük alt kümesidir vardır.
    İndex.php /? Q = user için sor. Ardından sitenizi sakat bırakmadan bu yanıtı devre dışı bırakmayı deneyin.
  • Muğlaklıkla güvenlik, güvenlik değildir. Yalnızca gerçek bir tehdit oluşturan herhangi bir saldırganın görebileceği bir duman perdesinin arkasındaki güvenlik açıklarını gizlerken, 'güvenli' olduğu konusunda yanlış bir izlenim bırakıyor.
  • Drupal izlerinin çoğunun HTML kaynağından gizlendiği bir noktaya kodu kesmek tamamen imkansız olmasa da , (Sonuçta Açık Kaynaktır) bunu yapmak için gereken adımlar , kodun kesilmiş dalını kesecek kadar zorunlu kılar. yama yapamayacağınız gerçek güvenlik güncellemeleriyle uyumlu olmayacak ve güvenlik ekibi tarafından belirlenen gelecekteki gerçek tehditlere karşı gerçekten açık olacaktır. Bu sistem güvenlik açığı için gerçek bir yoldur.
  • En önemli ya da faydalı modüllerin kendi kodları 'imzası' vardır, bu da önemli yeniden yazmalar olmadan gizlenmesi zor. 'Gösterim', 'cck', 'reklam', 'imagecache', 'jquery', css-aggregation, katkıda bulunan temalar veya sitenizde yararlı olan herhangi bir şey kullanıyorsanız - birisi söyleyebilir . Tamamen gizlemek, genellikle tema işlevlerinin tamamen dönüştürülmesini gerektirir - en azından. O zaman bile, engelleme muhtemelen işe yaramayacak .
  • Drupal Kitaplıklarını kullanmak için kullanabilecekleri Google Analytics’in kolay kurulumu gibi, gelişmiş özelliklerin birçoğunun tanımlanmasını kaldırmak için mutlaka bu özelliklerden tamamen vazgeçmeniz veya Drupal altyapısından yararlanmayacak şekilde yeniden yazmanız gerekir. . Bazen bu mümkün, ancak her durumda karşı-üretken.

Sitenizi güvence altına almak da ilginizi çekebilir .

Hatırla asla çekirdek kesmeyin

niksmac
kaynak
Buna razı olmama rağmen, sadece bir savunma hattı olarak bile PHP ve Drupal'a atıfta bulunan başlıkları kaldırmak, indeks içermeyen php komut dosyalarına erişime izin vermemenin yanı sıra yapılacak iyi bir şey olduğunu düşünüyorum. Hayır, elbette insanlar her zaman Drupal'ı çalıştırdığınızı öğrenmenin bir yolunu bulacak ve bunun saklanabileceğini düşünmek aptalca. Fakat hayatı en az ayırt edici hacker için biraz zorlaştırmanın bir zararı yok.
Matt Fletcher,
1

Sitenizin Drupal’ı çalıştırdığını gizlemenin bir anlamı yok. Gelişen web sitelerine bakmanın yanlış yolu budur. Odaklanmanız gereken şey güvenlik. Tüm güvenlik önlemlerini uyguladığınızdan emin olun, her şey yoluna girecektir. Dünyada, belirli bir cm veya başka bir yazılım kullandığınızı gizlemenin bir nedeni yoktur. Wappalyzer gibi FF eklentileriyle, bir sitenin Drupal kullanıp kullanmadığını anında anlayabilirsiniz, bu yüzden soru oldukça karışık.

picxelplay
kaynak
1

Yapabileceğiniz ek bir şey de varsayılan dosya yapısını değiştirmek için Dosya Takma Modülünü kullanmaktır.

Dosya adlar modülü size temiz görünümlü yolları (yani artık / siteler / default / files /) sağlarken her zamanki gibi organize dosya sistemini tutma yeteneğine vererek yüklediğiniz dosyalar için belirteç özelleştirilebilir adlar kullanmasına olanak sağlar.

John
kaynak
1
Ve? Bu, sürecin küçük bir kısmını düzeltir ve belki de en önemli kısmı bile değil.
greggles
1
Yukarıdaki insanların doğru cevaplarını bir kez daha tekrarlamak istemedim. Sadece bir ipucu daha ekledim.Ve evet, bu ipucu çok önemlidir, çünkü şu ana kadar yapılması en zor olanıdır ve genellikle bir siteyi anlamanın tek yolu drupaldır, çünkü genellikle webmaster genellikle bunun dışında olağan adımları uygulamaktadır. Ve evet, sadece bu dosya yapısı / klasör organizasyonu nedeniyle drupal bir site olduğunu anlamak çok kolaydır.
john
1

Tamamen saklayamayacağınız diğer insanlarla aynı fikirdeyim. HTML kaynağına bakarsanız, CSS ve JavaScript dosyalarının birçok kez toplanmadığını göreceksiniz. CSS ve JavaScript toplaması etkinleştirilmelidir.

user140
kaynak
0

Geçmişte, yazı tiplerimi Lucida Sans gibi tipik Ruby projesi yazı tipleri için değiştirdim, ayrıca tüm kalça çocukları gibi girdi boyutlarını da arttırdım.

Bir başka hediye, otomatik tamamlama alanları için "atma" grafiğidir. Giriş boyutunu artırdığınızda da çalışmaz. İşte çalabileceğiniz bir tane: http://beta.seattlebedandbreakfast.com/misc/throbber.gif

doublejosh
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.