“Sunucu” yanıt başlığını Apache'de tutmak için herhangi bir neden var mı

Sunucum Server: Apache/2.2.15 (CentOS)tüm isteklere yanıt veriyor . Sanırım bu sunucu mimarimi ortadan kaldırır, bu da girişimleri hacklemeyi kolaylaştırır.

Bu bir web tarayıcısı için faydalı oldu mu? Devam etmeli miyim?

apache-2.2 http-headers

— Nic Cottrell
kaynak

Açıkçası ben de yum-cron ile sunucularımı güncel tutuyorum!

— Nic Cottrell

Yanıtlar:

Bana göre, bunu mümkün olduğunca maskelemek en iyisidir. Bir web sitesini hacklemek için kullandığınız araçlardan biridir - teknolojisini keşfedin, o teknolojinin bilinen kusurlarını kullanın. Bir süre önce güvenliğin en iyi şekilde çalışmasının nedeni, "/view/page.jsp" veya "/view/page.asp" yerine "/ view / page" biçiminde URL'lerin tanıtımını yapmaya başlamasının nedeni ... maruz kalmaz.

Bu konuda /programming/843917/why-does-the-server-http-header-exist ve http://www.troyhunt.com/2012/02/shhh- gibi bazı tartışmalar var dont-let-your-response-headers.html ve açıkçası Hacking Exposed kitap.

Ayrıca bu Güvenlik SE /security/23256/what-is-the-http-server-response-header-field-used-for

Ancak bunun sunucularınızın güvenliğini sağlamanın bir sonu olmadığını unutmayın. Doğru yönde sadece bir adım daha. Herhangi bir hackin yürütülmesini engellemez. Sadece hacklemenin nasıl yapılacağı konusunda daha az görünür olmasını sağlar.

— ETL
kaynak

URL'lerde dosya adı uzantılarını kaldırmanın güvenlikle ilgisi yoktur ... insanlar için daha okunabilir. Uygulama platformunuzun açıklanmasının başka binlerce yolu vardır.

— Brad

Sunucu düzgün yapılandırılırsa, saldırgan olmak isteyen platformun ortaya çıkması ona yardımcı olmaz.

— Cthulhu

İsterseniz Sunucu başlığını değiştirebilirsiniz, ancak güvenlik için buna güvenmeyin. Saldırgan sadece Sunucu başlığınızı görmezden gelebilir ve bilinen her istismarı en başından beri deneyebilir.

RFC 2616, kısmen belirtmektedir:

Sunucu uygulayıcıları bu alanı yapılandırılabilir bir seçenek haline getirmeye teşvik edilir.

Ve Apache ServerTokensdirektifle yaptı. İsterseniz bunu kullanabilirsiniz, ancak yine de, saldırılmanızı sihirli bir şekilde önleyeceğini düşünmeyin.

— Michael Hampton
kaynak

+1 Günlüklerim yüklü olmayan yazılımlar için "saldırılar" ile dolu. Bilgisayar korsanları sahip oldukları her şeyi fırlatıp hangi sopaların olduğunu görür. ServerTokens'i değiştirmek için herhangi bir yardımcı program varsa, en iyi ihtimalle ihmal edilebilir.

— Chris S

@ChrisS Gerçekten. Ben bile rahatsız etmiyorum; Bunun yerine web sunucularımı güncel tutuyorum.

— Michael Hampton

Ben buna katılmıyorum. Küçük olsa da, güvenlik asla yeterince güçlü değildir ve kusur getirmeden veya performansları düşürmeden yardımcı olabilecek her şey uygulanmalıdır.

— mveroone

Neden gönüllü sürüm bilgisi? Her zaman "ServerSignature Off" ve "ServerTokens Prod" u ayarladım. Ayrıca, web sunucularınızı güncel tutmanın tek gerçek koruma olduğunu kabul edin. Sürüm bilgisini kaldırmaz ve üçüncü taraf penetrasyon testine göndermezseniz, bunu "Bilgi Sızıntısı" olarak işaretlediğinizden emin olabilirsiniz.

— HTTP500

@ HTTP500 PCI-DSS uyumluluğu ile düzenli olarak ilgileniyorum. Yamalı olmanız koşuluyla bu tam bir sorun değildir. Bir sorun haline geldiğinde , sistemin diğer bölümleri hakkında bilgi sızdırmasıdır (yani OP'nin CentOS 5.x çalıştırdığını söyleyebilirim) veya güncel kalmadınız.

— Michael Hampton

Saldırganın hangi sunucuların hangi yazılımı çalıştırdığını listelemesi durumunda, tam dizeyi sürüm bilgileriyle birlikte göstermek, 0 günlük saldırılara karşı yüksek risk altında kalabilir.

Bununla birlikte, bir sunucu dizesini gizlemenin sizi hack girişimlerinden koruyacağını beklememelisiniz. Yanıtların ve hataların raporlanma biçimine göre bir sunucuyu parmak izi bırakmanın yolları vardır.

Dizelerimi olabildiğince devre dışı bırakıyorum, ancak gizleyemediğim şeyler (örneğin OpenSSH) hakkında ter dökmüyorum.

— Dan
kaynak