Risultato della scansione di sicurezza - Il server perde gli inode tramite ETags

4

Dopo la scansione automatica sulla mia applicazione web ho il risultato che "Il server perde gli inode tramite ETags, l'intestazione trovata con file / icone / README, campi: 0x16a4 0x438c0000000".

Ho letto di ETags ma non vedo alcun rischio per la sicurezza relativo a questo. INode definito come "Il numero di i-node del file sarà incluso nel calcolo" è uno della configurazione standard. "

    
posta user187205 22.01.2018 - 14:03
fonte

1 risposta

6

Prima di tutto, questo è un falso positivo . Nikto segnala questo problema "Server perde gli inode tramite ETags" se c'è un trattino nell'intestazione ETag , che di per sé non indica nulla.

Un inode è una struttura dati utilizzata dal file system Linux. Ogni file e directory ha un inode che memorizza nome, dimensioni e altri dati. Ogni inode ha un numero che lo identifica in modo univoco. Apache HTTPD lo ha usato per un po 'nell'ETag. L'ETag è un identificatore che dovrebbe identificare univocamente un file sul server web e il numero di inode è un numero che identifica univocamente un file sul filesystem, quindi sembrava avere senso per usarne uno per l'altro.

Il numero di inode è informazioni tecniche del file system. Se esposto, non può essere utilizzato per sfruttare qualcosa di utile. Inoltre, è esposto solo su file che puoi già scaricare. Non mi sembra un vero rischio per la sicurezza se un server espone gli inode.

    
risposta data 22.01.2018 - 14:52
fonte

Leggi altre domande sui tag