È pericoloso il tag "Powered by ..."

Naviga le tue risposte
8

È pericoloso dal punto di vista della sicurezza inserire una riga in fondo a un sito web "Powered by Wordpress / Drupal / Django / WHATEVER"? So che alcune piattaforme / applicazioni hanno diverse vulnerabilità di sicurezza che sono più comuni / facilmente sfruttate. Conoscere i dettagli di una piattaforma indirizzerebbe sicuramente qualsiasi ricerca di vulnerabilità.

Non sono sicuro che ciò rientri nella categoria "sicurezza per oscurità" perché, ma penso anche che non avere quel tag possa aumentare il livello di impegno per un potenziale aggressore.

Dal punto di vista della sicurezza, cosa consiglieresti a un programmatore webapp?

    
posta KDEx 06.07.2013 - 05:13
fonte

1 risposta

8

In alcune circostanze, nascondere il software che identifica le informazioni può essere considerato benefico per la sicurezza generale del sistema, non per esporlo ai rischi di essere preso di mira da exploit di 0 giorni, o rendere generalmente più facile per l'attaccante trovare possibili exploit senza fare molte ricerche su quale software avrebbe dovuto indirizzare e aumentando le possibilità di essere esposto nel processo.

La scansione per i banner (dato che queste firme vengono talvolta chiamate dagli attaccanti) può essere difficile da rilevare, se il software stesso non rende banale l'autore dell'attacco a ritirarlo, quindi rimuovendo tali le firme o la loro modifica a valori arbitrari non identificativi sono spesso raccomandate, ad esempio sul software del server web (Apache, IIS, ...) che potrebbe pubblicare per impostazione predefinita anche su quale sistema operativo sono in esecuzione.

Nel tuo caso, tuttavia, scoprire a quale struttura web si basa un sito Web (in particolare quelli più comuni, come quelli che menzioni) è abbastanza banale semplicemente controllando la risposta HTML / CSS / JS per i segni di elementi costitutivi comuni. fare affidamento su (e talvolta anche su quale dominio o server di hosting web sono pubblicati), quindi non direi che ti nasconderebbero informazioni essenziali altrimenti impossibili da determinare con altri mezzi. Aggiungere o rimuovere una riga "Powered by ..." nel / dal tuo footer di risposta (o da qualsiasi altra parte) secondo me non cambia nulla per lo stack di software di alto livello (ma potresti voler omettere quale sistema operativo è in esecuzione , ecc.)

La maggior parte dei siti web costruiti su tali framework rischiano molto più di essere bersagliati da bot automatizzati che cercano di iniettare codice malevolo da exploit comunemente noti, indipendentemente dal fatto che il tuo sito web sia costruito su questo o quel framework / CMS / , senza nemmeno preoccuparti di guardare le informazioni sulla tua firma. E gli attacchi più mirati non avranno davvero difficoltà a capire quale struttura sottostante è costruita. Faresti molto meglio a "offuscare" i percorsi verso il tuo CMS, e concentrando la tua attenzione sull'indurimento della sicurezza delle applicazioni Web eseguendo gli scanner di vulnerabilità su di essi da soli ed eliminando le potenziali vulnerabilità che hanno generato, ad esempio.

    
risposta data 06.07.2013 - 05:47
fonte

Leggi altre domande sui tag

Attacchi pratici contro WPA2 Come continuare a utilizzare Java 6 in modo sicuro, nonostante le vulnerabilità di unpatch