Recentemente mi sono aggiornato da InfoSec che dobbiamo stare attenti a ETags usando Apache WebServer (HTTPD) perché rivelano inode e possono essere sfruttati specialmente in NFS ecc.
Ma mi sto spostando su Tomcat 7. Devo preoccuparmi anche di tutte queste vulnerabilità ETag in Tomcat? Se sì, come posso mitigare?
Grazie.
Talvolta gli strumenti di sicurezza riportano questa esposizione agli inode ETag quando non è presente.
A meno che tu non abbia una versione di Apache antica (1.3.27 o precedente), ti consiglio di sfidare il team di infosec a dimostrare che è reale.
Tomcat 7 è un prodotto completamente diverso scritto in Java e non calcola gli ETags in modo tale da esporre informazioni riservate sui server. Quindi, No.
Leggi altre domande sui tag known-vulnerabilities vulnerability-scanners