Server saya merespons Server: Apache/2.2.15 (CentOS)
semua permintaan. Saya kira ini memberikan arsitektur server saya membuatnya lebih mudah untuk meretas upaya.
Apakah ini pernah berguna untuk browser web? Haruskah saya tetap menggunakannya?
apache-2.2
http-headers
Nic Cottrell
sumber
sumber
Jawaban:
Menurut pendapat saya, yang terbaik adalah menutupi ini sebanyak mungkin. Ini adalah salah satu alat yang Anda gunakan untuk meretas situs web - temukan teknologinya, gunakan kelemahan yang diketahui dari teknologi itu. Alasan yang sama mengapa praktik terbaik keamanan beberapa waktu lalu mulai mempromosikan memiliki url dalam bentuk "/ view / page" alih-alih "/view/page.jsp" atau "/view/page.asp" ... jadi teknologi yang mendasarinya tidak akan terpapar.
Ada beberapa diskusi tentang ini seperti /programming/843917/why-does-the-server-http-header-exist dan http://www.troyhunt.com/2012/02/shhh- dont-let-your-response-headers.html dan jelas-jelas buku Peretasan Terkena.
Juga ini di Security SE /security/23256/what-is-the-http-server-response-header-field-used-for
Tetapi perlu diingat bahwa ini bukan segalanya untuk mengamankan server Anda. Hanya satu langkah lagi ke arah yang benar. Itu tidak mencegah peretasan untuk dieksekusi. Itu hanya membuatnya kurang terlihat seperti apa hack harus dilakukan.
sumber
Anda dapat mengubah header Server jika Anda mau, tetapi jangan mengandalkan ini untuk keamanan. Hanya dengan memperbarui selalu akan melakukan itu, karena penyerang bisa mengabaikan header Server Anda dan mencoba setiap exploit yang diketahui dari awal waktu.
RFC 2616 menyatakan, sebagian:
Dan Apache melakukannya, dengan
ServerTokens
arahan. Anda dapat menggunakan ini jika mau, tetapi sekali lagi, jangan berpikir itu akan secara ajaib mencegah Anda diserang.sumber
Menampilkan string lengkap, dengan informasi versi, dapat membuat Anda berisiko lebih tinggi dari serangan 0 hari jika penyerang telah membuat daftar server mana yang menjalankan perangkat lunak apa.
Yang sedang berkata, Anda seharusnya tidak berharap bahwa menyembunyikan string server akan melindungi Anda dari upaya peretasan. Ada cara untuk sidik jari server berdasarkan cara tanggapan dan kesalahan dilaporkan.
Saya menonaktifkan string saya, sejauh yang saya bisa tapi saya tidak berkeringat tentang yang saya tidak bisa sembunyikan (misalnya OpenSSH).
sumber