Sto costruendo un sito Web ma alcuni strumenti di web e plugin per il browser consentono a chiunque di ottenere informazioni su quali tecnologie è stato costruito il sito web. C'è qualche alternativa per non rivelare che stiamo lavorando sul server che processa php?
Non fornire alcuna informazione a nessuno a meno che non sia assolutamente necessario.
Devi impostare expose_php=off nel tuo PHP.ini. Questo dice a PHP di non esporre l'intestazione HTTP "x-powered-by" e gli strani quark che possono essere usati per identificarlo. Dovresti anche impostare display_errors=Off che potrebbe essere usato per identificare PHP e vulnerabilità basate su errori come SQL Injection. Queste due configurazioni dovrebbero essere utilizzate su tutti i sistemi di produzione. Puoi fare un ulteriore passo avanti e rimuovere o modificare l'estensione .php con mod_rewrite.
Questo è lo stesso di "banner information disclosure", che sta rivelando informazioni sulla versione tramite banner di servizio. Dovresti essere in grado di configurare il tuo HTTPD per sopprimere queste informazioni. In un ambiente di produzione Apache impostato ServerTokens ProductOnly (grazie a tftd). Ma questo rimuoverà solo il numero di versione, se vuoi rimuovere la parola "apache" devi usare mod_security.
Potresti anche mentire > :). Puoi usare mod_header per impostare qualsiasi intestazione, incluso un falso x-powered-by , e basta adottare le estensioni di file .aspx usando mod_rewrite.
Puoi ottenere un po 'più di sicurezza attraverso l'oscurità modificando anche i seguenti valori:
php_flag display_startup_errors off
php_flag display_errors off
php_flag html_errors off
php_value docref_root 0
php_value docref_ext 0
Puoi trovare alcuni buoni consigli qui:
Leggi altre domande sui tag webserver web-application disclosure