Blocca le richieste http HEAD, TRACE, DELETE O TRACK è una funzione di sicurezza valida? [duplicare]

Naviga le tue risposte
1

Bloccare le richieste di http HEAD ci aiuta a consolidare le regole di sicurezza per un server web Apache o questa limitazione sarebbe esagerata?

Quale tipo di vulnerabilità può essere sfruttata da HEAD method ?

Test: 

lynx --dump --head http://www.terra.com.br

HTTP/1.1 200 OK Server: nginx Date: Wed, 16 Jul 2014 14:44:35 GMT Content-Type: text/html;charset=UTF-8 Content-Length: 0 Connection: close Vary: Accept-Encoding X-Cache-Status: HIT Content-Language: pt-BR X-Ua-Level: Set-Cookie: prisma=WEB-20; path=/; domain=.terra.com.br Set-Cookie: prisma=WEB-20; path=/; domain=.terra.com.br Age: 0 Vary: Accept-Encoding, X-UA-Device, X-prisma X-Device-Type: web X-Xact-Hosts: montador=1sh X-Xact-Uuid: be9ef8c3-163a-40af-8472-0982226424e1 X-Ua-Compatible: IE=Edge Cache-Control: no-cache X-Ua-Device: Lynx/2.8.8rel.2 libwww-FM/2.14 SSL-MM/1.4.1 OpenSSL/1.0.1g Set-Cookie: X-XAct-ID=da20bbf3-3a14-4d86-a23b-6fe36f5adae9; Domain=terra.com.br; expires=Wed, 31 Dec 2036 00:00:00 GMT; Path=/ Set-Cookie: novo_portal=1; Domain=terra.com.br; expires=Mon, 01 Sep 2014 00:00:0 0 GMT; Path=/

$ lynx --dump --head http://www.myserver.com.br

HTTP/1.1 403 Forbidden Date: Wed, 16 Jul 2014 14:44:44 GMT Server: Apache Last-Modified: Tue, 01 Apr 2014 05:28:27 GMT Accept-Ranges: bytes Content-Length: 4874 Vary: Accept-Encoding,User-Agent Connection: close Content-Type: text/html

AGGIORNAMENTO:

La risposta del metodo GET è applicabile anche ai metodi TRACE, DELETE OR TRACK ?

Conf Apache: 

RewriteCond %{REQUEST_METHOD} ^(TRACE|DELETE|TRACK) [NC]
RewriteRule .? - [F]
    
posta gpupo 16.07.2014 - 16:32
fonte

2 risposte

3

"Fare X migliora la sicurezza del mio sistema?" - Questo è un brutto modo per affrontare questi problemi.

"Fare X migliora la sicurezza del mio sistema abbastanza da giustificare i costi?" - è la domanda giusta da porre.

Il blocco delle richieste HEAD migliora la sicurezza? Sì, di circa lo 0,01%. Difetti nel codice che gestisce le richieste HEAD sarebbero più difficili (o impossibili) da raggiungere con le richieste.

Ma ... i costi di blocco delle richieste HEAD superano i benefici nella maggior parte dei casi. Aumento del traffico verso i server, tempo di implementazione, rallentamento della risoluzione dei problemi, ecc. Fare una modifica come questa non è un grosso problema, ma se fai 50 modifiche che richiedono 30 minuti e riduci il rischio dello 0,01%, hai speso 24 ore per un miglioramento dello 0,5%. Ci sono probabilmente usi migliori per il tuo tempo.

    
risposta data 16.07.2014 - 18:18
fonte
-1

L'utilizzo del comando HEAD in telnet contro un server Web consente a un potenziale utente malintenzionato di condurre una ricognizione sul proprio server web.

Tra le altre cose la risposta può rivelare quale server web stai usando e quali tecnologie come PHP o ASP, possibilmente con numeri di versione. L'utente malintenzionato potrebbe quindi utilizzarlo per eseguire un'enumerazione, ovvero il processo di abbinamento di prodotti e versioni con vulnerabilità note.

Quindi non è possibile sfruttare direttamente una vulnerabilità con una richiesta HEAD, ma può fornire a un utente malintenzionato preziose informazioni.

Non sono sicuro che l'arresto delle richieste HEAD sia effettivamente possibile, poiché questo è qualcosa che un browser dovrà fare per recuperare i contenuti web. Un'alternativa migliore sarebbe quella di alterare i file di configurazione per assicurarsi che non riportino i numeri di versione.

    
risposta data 16.07.2014 - 16:38
fonte

Leggi altre domande sui tag

Posso sbarazzarmi della memorizzazione dei segreti degli utenti usando OpenID e cosa devo memorizzare? Come trovare il metodo di crittografia? [duplicare]