Ho appena notato che la mia pagina 403 Proibita (predefinita, non personalizzata) mostra alcune informazioni sul server:
Apache/2.2.3 (Red Hat) Server at ... Port 80
Le informazioni sono rivelatrici di un rischio per la sicurezza?
Ho appena notato che la mia pagina 403 Proibita (predefinita, non personalizzata) mostra alcune informazioni sul server:
Apache/2.2.3 (Red Hat) Server at ... Port 80
Le informazioni sono rivelatrici di un rischio per la sicurezza?
Rivelare che l'informazione è un rischio per la sicurezza, nel contesto di una valutazione di sicurezza del tuo sito web. (Sto parlando di assegni di stile checkbox qui)
Niente di più - rende solo più difficile il rilevamento delle impronte digitali del server web, ma non è assolutamente impossibile - nemmeno troppo difficile. Non ostacolerà nemmeno un po 'l'aggressore che bersaglia il sito web, anche se lo costringerà a intraprendere azioni che potrebbero colpire alcuni IDS. potrebbe ostacolare alcuni crawler automatici o attacchi di massa. però.
Classificherei questo nella lista delle "migliori pratiche".
Direttamente, no. Questa è una questione di sicurezza attraverso l'oscurità. La rimozione delle intestazioni del server non rimuove le vulnerabilità e le funzioni ad essa associate.
Nel contesto del rischio (rischio = probabilità x conseguenza), potrebbe diminuire la possibilità di essere preso di mira da alcuni strumenti automatici che si affidano alle impronte digitali dei tuoi servizi. Le conseguenze rimarrebbero le stesse.
Questa domanda ha già trattato questa discussione sulla sicurezza attraverso l'oscurità a buona misura. La risposta accettata in questa domanda ha un argomento molto convincente, su cui sono d'accordo.
My thoughts on this are that obscuring information is helpful to security in many cases as it can force an attacker to generate more "noise" which can be detected. - Rory
Fornisce sicuramente alcune informazioni interessanti ai possibili attaccanti sul tuo sistema (sistema operativo, tipo di server web e versione). Quindi suppongo che sarebbe saggio rimuovere completamente tali informazioni o passare a qualcosa di più generico / facile da usare.
Dovresti controllare il tuo file httpd.conf per ServerTokens e ServerSignature per poter apportare le modifiche rilevanti.
La visualizzazione di banner e versioni potrebbe influire sulla sicurezza del tuo sistema se esistono vulnerabilità di sicurezza per quel software e quelle versioni. Quindi, se mantieni aggiornate le tue applicazioni, la visualizzazione dei banner non influisce sulla sicurezza, ma se esiste una vulnerabilità di sicurezza, la visualizzazione di banner e versioni riduce la sicurezza.
Questo è anche il modo in cui OSSTMM risponderà alla tua domanda. Mostrare un banner o una versione è un'esposizione. Le esposizioni valgono solo per il calcolo dei RAVs se sono associati anche a Esposure a Vulnerability, altrimenti l'Esposizione non conta.
Leggi altre domande sui tag error-handling apache webserver