La mia organizzazione vuole limitare tutti i plugin / strumenti come Netcraft e Builtwith per rilevare tutte le tecnologie lato server per ragioni di sicurezza come piattaforma, nome e versione del sistema operativo, nome e versione del server web. Solo la configurazione del firewall, la chiusura delle porte non necessarie e il rafforzamento del sistema operativo non sono di grande aiuto.
Guarda come funzionano questi strumenti. Alcune informazioni potrebbero essere facili da rimuovere, ad es. impostando le intestazioni per il tuo server web per segnalare informazioni più limitate. Questo può nascondere la versione esatta. Tuttavia, è molto più difficile nascondere che stai eseguendo Apache piuttosto che esegui Apache 2.4.35, poiché potrebbe rivelarsi come reagisce a determinati input.
Disinfetta tutte le applicazioni Web e riscrive i percorsi in modo che non rivelino le applicazioni. Ad esempio wp-content è un omaggio morto per Wordpress. Questo è un compito importante e include realisticamente la riscrittura di parti dell'applicazione, probabilmente salutando le patch ufficiali senza modifiche.
La piattaforma di nascondimento su cui si ospita il sistema è ancora più difficile, poiché kernel diversi implementano lo stack TCP in modi leggermente diversi. Le cose astratte, come i numeri di sequenza TCP, possono rivelare informazioni sulla piattaforma. I cookie TCP Syn possono rivelare informazioni. E così via. È probabile che l'oscuramento totale della piattaforma sia difficile.
E cosa guadagni in termini di sicurezza? Spendi molte risorse per nascondere le informazioni. Perché non spenderlo su proteggere la tua applicazione, in modo che non importi se un hacker sa che stai utilizzando Apache 2.4.35?