È sicuro visualizzare le informazioni sulla versione su una pagina Web pubblica della tua app Web?

1

Conosco un'azienda ecommerce con un sito Web pubblico, ad esempio www.app.com che ha una pagina www.app.com/version.jsp che è anche accessibile pubblicamente. La pagina ha le seguenti informazioni.

Build Info
Path:   /root/version/app/v5.6/b10
Server:     appUSA-prod-srv1
Date:   09/10/2017 6:21 AM
Source:     svn@svn
CI: Link (this leads to an internal link which is inaccessible to public)
Gradle is used in newer apps.

È bello per gli sviluppatori / QA conoscere la versione esatta e creare in produzione semplicemente controllando la pagina. Ma è sicuro o consigliabile rendere tale pagina pubblicamente accessibile?

    
posta testerjoe2 29.09.2017 - 01:58
fonte

2 risposte

2

Quando ci si trova in un ambiente di produzione, meno informazioni non critiche vengono distribuite, migliore sarà la superficie di sicurezza.

È possibile utilizzare le informazioni sulla versione e il nome di un prodotto per restringere l'ambito degli attacchi che possono essere utilizzati contro un'applicazione.

Senza conoscere gli ingressi e i fuori dell'applicazione, è difficile sapere se è effettivamente distribuito come applicazione di "livello di produzione".

Aggiungerò che con le applicazioni controllate SVN, le informazioni sulla versione diventano inutili per un utente malintenzionato perché l'applicazione potrebbe essere rapidamente aggiornata.

EDIT: Per ulteriori chiarimenti, menzionerò anche che molti protocolli e parti di software passeranno un parametro di versione. Questo per garantire che il programma stia comunicando con una versione valida. Immagina una versione precedente dell'app che parla con una nuova istanza di software server. Le cose potrebbero andare molto male, o semplicemente non funzionare affatto.

    
risposta data 29.09.2017 - 03:09
fonte
0

Se si tratta di un'applicazione personalizzata / personalizzata, l'aggiunta del numero di versione probabilmente non costituirà un problema in quanto i numeri di versione non li aiuteranno a trovare le vulnerabilità da un database di vulnerabilità esistente.

Tuttavia, se si tratta di un'applicazione disponibile in commercio, in particolare quella ampiamente utilizzata, il numero di versione può essere utilizzato da un utente malintenzionato per restringere gli attacchi che l'utente malintenzionato deve compiere per avere successo. Conoscere il numero di versione può consentire all'autore dell'attacco di mantenere un profilo più basso rispetto a qualsiasi meccanismo di avviso di difesa che potresti avere. Ad esempio, se si dispone di un sistema di rilevamento delle intrusioni o se si dispone di un firewall dell'applicazione Web configurato per rilevare e avvisare richieste che assomigliano a tentativi di attacco di una vulnerabilità già risolti nella versione distribuita, potrebbero non essere attivati se l'utente malintenzionato ha utilizzato la versione informazioni per saltare gli exploit già corretti.

    
risposta data 30.09.2017 - 12:50
fonte

Leggi altre domande sui tag