Esiste un rischio per la sicurezza in presenza di quelle intestazioni HTTP nelle risposte?

Naviga le tue risposte
4

Le seguenti intestazioni HTTP possono essere visualizzate nelle risposte su alcuni siti:

  • Età: 12
  • Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ ==
  • Via: 1.1 tacoma: 3128 (squid / 2.7.STABLE9)
  • X-Cache: MISS da tacoma
  • X-Cache-Lookup: MISS da tacoma: 3128
  • X-Content-Digest: a513fd4a793de617e370699fe9a71c08be3b9476
  • X-Forwarded-Proto: https
  • X-Rack-Cache: miss
  • X-Runtime: 0,002216
  • Compatibile con X-Ua: IE = Edge, chrome = 1

A prima vista quelle intestazioni HTTP non perdono informazioni sensibili o introducono vulnerabilità di sicurezza e rendono più facile la vita degli attaccanti.

Ma la presenza di tali intestazioni nelle risposte HTTP danneggerà in qualche modo la sicurezza?

    
posta Andrei Botalov 08.05.2012 - 23:44
fonte

4 risposte

6

Non influiscono direttamente sulla sicurezza.

Tuttavia, le informazioni che perdono potrebbero essere preziose per un utente malintenzionato.

Ad esempio, l'utente malintenzionato può utilizzare le informazioni contenute in tali intestazioni per:

  • Determina la versione esatta di calamaro in esecuzione sui tuoi sistemi
  • Determina il back-end dell'applicazione (X-Rack-Cache: indica Ruby, quindi è molto probabile Rails o Sinatra)
  • Determina i nomi di host interni (il tacoma si riferisce probabilmente all'host del calamaro di frontend) e le porte
  • Fornisci suggerimenti sulla strategia di memorizzazione nella cache della pagina (Facendo più richieste e ispezionando l'intestazione HTTP Age o alcune delle altre X-testine puoi capire se una richiesta ha causato o meno una cache).

Quindi, sì - nascondere queste intestazioni non farà altro che nascondere le vicende dietro, non proteggerle. Ma non devi rendere facile un lavoro agli intrusi per loro:)

    
risposta data 09.05.2012 - 01:43
fonte
2

Il concetto in sé non nuoce alla sicurezza, ma il contenuto potrebbe.

Se hai deciso di proteggere il tuo sito con la seguente intestazione HTTP:

  • X-UserIsAdmin: true

quindi danneggerebbe la sicurezza.

Utilizzando le intestazioni HTTP per il loro intento, con le informazioni rilevanti per gestire correttamente una richiesta HTTP, di per sé non dovrebbe danneggiare la sicurezza. Basta applicare gli stessi metodi che si fanno a qualsiasi altra comunicazione client / server.

    
risposta data 09.05.2012 - 00:04
fonte
2

Le intestazioni HTTP sono come il resto della risposta. Se il contenuto, le intestazioni o altro sono o meno un contenuto di sicurezza dipende dal contenuto.

    
risposta data 09.05.2012 - 01:56
fonte
0
L'intestazione

X-Runtime esporrà quale parte del tuo sito web è un buon bersaglio per gli attacchi DOS.

    
risposta data 19.11.2015 - 19:39
fonte

Leggi altre domande sui tag

È sicuro centralizzare le informazioni del database? Gli exploit di overflow dello stack e dell'heap non sono più efficaci?