Mein Server antwortet mit Server: Apache/2.2.15 (CentOS)
allen Anfragen. Ich vermute, dass dies meine Serverarchitektur verrät, was das Hacken von Versuchen erleichtert.
Ist dies jemals für einen Webbrowser nützlich? Soll ich es weiter machen?
apache-2.2
http-headers
Nic Cottrell
quelle
quelle
Antworten:
Meiner Meinung nach ist es am besten, dies so gut wie möglich zu maskieren. Es ist eines der Tools, mit denen Sie eine Website hacken - entdecken Sie die Technologie und nutzen Sie die bekannten Fehler dieser Technologie. Aus dem gleichen Grund, aus dem vor einiger Zeit die bewährte Sicherheitsmethode für die Verwendung von URLs in der Form "/ view / page" anstelle von "/view/page.jsp" oder "/view/page.asp" geworben wurde ... also die zugrunde liegende Technologie würde nicht ausgesetzt sein.
Es gibt einige Diskussionen darüber wie /programming/843917/why-does-the-server-http-header-exist und http://www.troyhunt.com/2012/02/shhh- dont-let-your-response-headers.html und offensichtlich Hacking Exposed-Buch.
Auch dies auf der Security SE /security/23256/what-is-the-http-server-response-header-field-used-for
Beachten Sie jedoch, dass dies nicht das Ende der Sicherheit Ihrer Server ist. Nur noch ein Schritt in die richtige Richtung. Es verhindert nicht, dass ein Hack ausgeführt wird. Es macht nur weniger sichtbar, welcher Hack durchgeführt werden soll.
quelle
Sie können den Server-Header bei Bedarf ändern, aber aus Sicherheitsgründen nicht damit rechnen. Dies funktioniert nur, wenn Sie auf dem neuesten Stand sind, da ein Angreifer Ihren Server-Header einfach ignorieren und jeden bekannten Exploit von Anfang an ausprobieren kann.
RFC 2616 besagt teilweise:
Und Apache tat es mit der
ServerTokens
Direktive. Sie können dies verwenden, wenn Sie möchten, aber denken Sie auch nicht, dass es Sie auf magische Weise davon abhält, angegriffen zu werden.quelle
Das Anzeigen der vollständigen Zeichenfolge mit Versionsinformationen kann zu einem erhöhten Risiko für 0-Tage-Angriffe führen, wenn der Angreifer eine Liste der Server erstellt hat, auf denen welche Software ausgeführt wird.
Allerdings sollten Sie nicht damit rechnen, dass Sie durch das Verstecken einer Server-Zeichenfolge vor Hacking-Versuchen geschützt werden. Es gibt Möglichkeiten, einen Server anhand der Art und Weise, in der Antworten und Fehler gemeldet werden, mit einem Fingerabdruck zu versehen.
Ich deaktiviere meine Strings, so weit ich kann, aber ich schwitze nicht über die, die ich nicht verbergen kann (zB OpenSSH).
quelle