La divulgazione di informazioni sotto forma di intestazione di server è una vera vulnerabilità?

Naviga le tue risposte
6

Ho visto in molti posti che la gente dice che le intestazioni dei seguenti tipi sono vulnerabili: 

Server:Microsoft-IIS/7.5
X-AspNet-Version:4.0.30319
X-Powered-By:ASP.NET

Vedo che questo fornisce all'utente ulteriori informazioni in modo che possa verificare i bug noti su queste piattaforme e quindi abusarne. Ma mi sembra che la rimozione di queste intestazioni possa proteggerti solo da semplici script kiddies e qualsiasi attacco serio potrebbe rivelare queste informazioni piuttosto facilmente. Per es.

  • Ci deve essere un modo in ogni IIS risponde in modo diverso o fallisce in modo diverso quando viene inviato un intrico casuale casuale ad esso rispetto ad altri server
  • Un elenco di vulnerabilità conosciute in ASP.NET può essere provato uno per uno per vedere se uno si applica + lo stesso punto di cui sopra si applica allo stesso ASP.NET
  • Altre manipolazioni simili

Quindi tutto sommato sembra che qualsiasi avversario serio sarebbe davvero in grado di scoprire tali informazioni in modo piuttosto semplice.

E dopotutto la rimozione delle intestazioni ti darà qualche vantaggio oltre alla protezione molto semplice da parte degli script kiddies che per prima cosa indirizzeranno i siti che hanno la vulnerabilità come in una citazione popolare:

“You don’t have to run faster than the bear to get away. You just have to run faster than the guy next to you.”

P.S. Probabilmente hai problemi molto più seri se questa divulgazione di informazioni può portare a una reale vulnerabilità.

P.P.S. Non ha senso avere questo header in ogni caso dal momento che ne beneficerà anche le prestazioni (anche se in modo trascurabile), quindi è una buona idea sbarazzarsene, ma sono comunque curioso dell'intero argomento "sicurezza" qui

    
posta Ilya Chernomordik 05.02.2016 - 16:12
fonte

4 risposte

9

OWASP definisce Perdita di informazioni come una vulnerabilità, quindi il dibattito è davvero sull'opportunità o meno delle informazioni sulla versione specifica dovrebbe essere classificato come "perdita di informazioni".

Come cita @Oasiscircle, questa informazione può essere utilizzata come punto di partenza per gli aggressori che conoscono vulnerabilità specifiche associate a versioni specifiche. Sappiamo che gli hacker utilizzano botnet per scansionare i server alla ricerca di impronte digitali delle versioni e utilizzano queste informazioni per mantenere i database delle versioni delle applicazioni e degli indirizzi dei server. Shodan fornisce un database ampiamente utilizzato di queste informazioni. Quando viene introdotto un nuovo exploit che si rivolge a una versione specifica, o se un utente malintenzionato sviluppa un exploit 0day contro una versione, questi malintenzionati eseguono una selezione dei loro database e colpiscono rapidamente, sperando di catturare alcune di queste macchine prima che vengano corrette.

Ciò rende la conoscenza di un numero di versione specifico una vulnerabilità? Non direttamente, ma ti mette nel mirino di un campo di cecchini, ognuno con un grilletto e la motivazione per colpire per primo. Lo lascerò a te per determinare da solo se consideri questa vulnerabilità.

    
risposta data 05.02.2016 - 17:26
fonte
5

Sono generalmente dubbioso sui vantaggi - come dice @MarkBuffalo, molti attaccanti proveranno ogni attacco che conoscono su ogni server che trovano, sia che funzioni o meno (anche fino al punto di provare attacchi specifici di Windows contro sistemi che segnalano che stanno eseguendo RHEL).

Tuttavia, non si tratta di informazioni che è necessario fornire, quindi sono generalmente favorevole a rimuoverlo, laddove ciò può essere realizzato con il minimo sforzo. Questo a volte significa ridurre l'output solo al nome del server (ad esempio Apache, IIS) piuttosto che rimuovere completamente l'intestazione del Server, poiché la rimozione completa dell'intestazione potrebbe richiedere l'introduzione di nuovi elementi software nello stack del server.

Ad esempio, prende una riga in apache.conf per ridurre un'intestazione del server httpd su "Apache", ma l'aggiunta di un proxy per ridurla ulteriormente. In tal caso, sembra più sicuro attenersi alla linea minima, piuttosto che aggiungere un elemento aggiuntivo, che potrebbe introdurre i propri difetti.

Allo stesso modo, è facile vedere quando un sito esegue Wordpress, ma mi raccomando comunque di rimuovere il file readme - non è solo necessario, e agisce un po 'come la ciotola del marrone M & Ms rider che alcune rock band hanno usato tristemente : puoi controllarlo facilmente e mostra se è probabile che siano stati presi altri passaggi.

    
risposta data 05.02.2016 - 18:00
fonte
4

Diciamo che oggi è stata annunciata una vulnerabilità per tutti i server Microsoft IIS 7.5 con una piccola gamma di versioni ASP Net. Sono un malintenzionato e desidero capire quanti più server posso sfruttare prima che gli amministratori di sistema risolvano la vulnerabilità. Non sarebbe un problema molto più facile capire se potrei chiedere a ogni singolo server se sono vulnerabili piuttosto che dover provare la vulnerabilità su ogni singolo server? Inoltre, potrei registrare tutte queste informazioni su base per server e sapere esattamente chi voglio attaccare nel momento in cui viene rilevata una vulnerabilità per qualsiasi tipo di server.

Nascondere le informazioni sulla tua versione non fermerà un attacco, ma ti farà meno bersaglio se gli aggressori cercano una versione specifica di hardware o software. La sicurezza per oscurità non significa che tu sia al sicuro, ma a volte rallenta le persone, ed è esattamente ciò che è necessario per le vulnerabilità day zero.

    
risposta data 05.02.2016 - 16:19
fonte
1

Supponiamo che in ASP.NET 4.0.30319 sia stata rilevata una nuova vulnerabilità grave.

Gli aggressori possono facilmente trovare server vulnerabili utilizzando un motore di ricerca come Shodan: link

Nascondere i banner di informazioni ti protegge da attacchi non mirati quando un utente malintenzionato vuole solo che alcuni server si compromettano per l'aggiunta alla loro botnet.

    
risposta data 08.02.2016 - 10:52
fonte

Leggi altre domande sui tag

Che cosa significa "Vecchio" in "OLD_TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"? Quali considerazioni sulla sicurezza ci sono quando si sviluppa un generatore di password casuali?