Scoprire quali intestazioni sono visibili

Naviga le tue risposte
10

Mi piacerebbe trovare un modo semplice per scoprire quali intestazioni sono visibili sui miei siti web. Ad esempio, versione PHP, server ecc.

Mi sono guardato intorno e non riesco a trovare una buona spiegazione sull'argomento per un novizio come me. Quindi qual è il modo più semplice per ottenere tutte le intestazioni che un hacker potrebbe usare contro di me? Preferirei vederlo nel browser senza scaricare un programma esterno per questo, ma sembra necessario da quello che ho visto su sofar.

Qualcuno potrebbe indicarmi la giusta direzione?

    
posta justanotherhobbyist 31.10.2013 - 13:39
fonte

3 risposte

12

Probabilmente stai usando uno dei possibili strumenti al momento. Sia Firefox che Chrome dispongono di strumenti di sviluppo che ti consentono di visualizzare sia le intestazioni di richiesta che di risposta per qualsiasi richiesta effettuata.

In Firefox vai a Tools - > Web Developer - > Network e quindi effettuare una nuova richiesta facendo clic su un collegamento o aggiornando la pagina.

In Chrome, vai al menu - > Tools - > Developer Tools e scegli la scheda Network e poi fai una nuova richiesta facendo clic su un link o aggiornando la pagina.

Per visualizzare le intestazioni di una richiesta in entrambi i browser, fai clic sulla richiesta nell'elenco negli strumenti di sviluppo.

    
risposta data 31.10.2013 - 13:46
fonte
6

Certo, i browser funzionano, ma penso che siano un po 'eccessivo per questo compito. Il mio metodo preferito è l'utilizzo dell'utilità della riga di comando di arricciatura, che è disponibile su quasi tutti i sistemi di tipo Unix. Utilizza il flag -I , che indica a curl di effettuare una richiesta HEAD HTTP e di stampare solo le intestazioni: 

$> curl -I http://example.com/
HTTP/1.1 200 OK
Accept-Ranges: bytes
Cache-Control: max-age=604800
Content-Type: text/html
Date: Thu, 31 Oct 2013 15:49:18 GMT
Etag: "359670651"
Expires: Thu, 07 Nov 2013 15:49:18 GMT
Last-Modified: Fri, 09 Aug 2013 23:54:35 GMT
Server: ECS (sea/55ED)
X-Cache: HIT
x-ec-custom-error: 1
Content-Length: 1270

Si noti che l'utilizzo del flag -I rende una richiesta HEAD HTTP; il server dovrebbe inviarti le stesse intestazioni che avresti ricevuto se avessi fatto una richiesta HTTP GET, ma una non correttamente configurata o buggata (non l'ho incontrato solo una volta). Se si sospetta che sia il caso, utilizzare il flag -i (in minuscolo anziché in maiuscolo), che eseguirà una richiesta GET e stamperà le intestazioni seguite dal corpo della risposta. Dovrai inoltre utilizzare il flag -i se devi fare un altro tipo di richiesta HTTP, come ad esempio il POST.

    
risposta data 31.10.2013 - 16:56
fonte
2

quando arricciatura non è disponibile, ma telnet: 

$ telnet host 80
  HEAD / HTTP/1.0

  (<-2 newlines) 


  HTTP/1.1 302 Moved Temporarily
  Server: nginx
  Date: Wed, 06 Nov 2013 07:16:23 GMT
  Content-Type: text/html
  Content-Length: 154
  Connection: close
  Location: http://blah.org/
  X-Frame-Options: SAMEORIGIN
    
risposta data 06.11.2013 - 08:19
fonte

Leggi altre domande sui tag

Come proteggersi dallo sfruttamento utilizzando un dominio scaduto Come definire i requisiti di sicurezza per garantire che gli sviluppatori ... non forniscano sicurezza per oscurità?