मैं अपनी साइट को चलाने के लिए जो भी उपयोग कर रहा हूं, उसे कैसे अस्पष्ट कर सकता हूं?


72

क्या ऐसा कुछ है जिसे मैं किसी को रोकने के लिए कर सकता हूं मेरी साइट को जानने के लिए फ्रंट पेज के सोर्स कोड को देखकर Drupal का उपयोग कर रहा है? मैं ऐसे लोगों का उल्लेख कर रहा हूं जो सॉफ़्टवेयर का उपयोग करने वाली साइटों को स्कैन करते हैं जो किसी भी ज्ञात कमजोर बिंदु का उपयोग करके उस पर हमला करने में सक्षम होने के लिए वेबसाइट चलाने के लिए उपयोग किए गए सॉफ़्टवेयर का पता लगाता है।

यदि यह पूरी तरह से इस तथ्य को छिपाना संभव नहीं है कि साइट ड्रुपल का उपयोग कर रही है, तो क्या उन्हें भ्रमित करना कम से कम संभव है (उदाहरण के लिए, यूआरएल जैसे नोड पेजों को अलियास करके http://example.com/servlets/<node-id>.jsp)?


76
आप Drupal को छिपाना नहीं चाहते हैं। द्रुपाल कमाल का है।
डेमियन टूरनॉड

4
कैसे शुरू करने के लिए रूट निर्देशिका से CHANGELOG.txt फ़ाइल को हटाने के बारे में! नहीं, लेकिन गंभीरता से - मेरे लिए समय की पूरी बर्बादी की तरह लगता है। सुरक्षा अद्यतन के साथ अद्यतित रहें और इस तथ्य को छिपाने की कोई आवश्यकता नहीं है कि यह ड्रुपल है। क्या व्हाइटहाउस इस तथ्य को छिपाता है कि वे ड्रुपल का उपयोग कर रहे हैं? नहीं, वे इसे छतों से चिल्लाते हैं :)
टॉम किर्कपैट्रिक

10
इस उदाहरण में अस्पष्टता के माध्यम से सुरक्षा अधिक सुरक्षा प्रदान नहीं करती है।
ब्रायन कैसलर

3
आप कोकिंग ड्रुपल को पढ़ना चाह सकते हैं : बाल्टी में एक बूंद , जो आपके ड्रुपल साइट को सुरक्षित करने का एक उत्कृष्ट ग्रंथ है।
मावग

2
यदि आपको नहीं लगता कि सुरक्षा उपयोग का मामला बढ़ता है, तो यहां एक विकल्प है: वाणिज्यिक गोपनीयता। एक व्यवसाय यह नहीं चाहता है कि उसके प्रतिस्पर्धी आसानी से यह पता लगाने में सक्षम हों कि यह किस साइट से बनाया गया है। या, एक एजेंसी या कंसल्टेंसी अपने प्रतिद्वंद्वियों को उन उपकरणों की वर्तमान सीमा के बारे में अंधेरे में रखना चाह सकती है जो इसका उपयोग कर रहे हैं।
user568458

जवाबों:


53

यह एक पुराना और पहले से ही उत्तर दिया गया प्रश्न है, लेकिन मैंने हाल ही में उन सभी चीजों का विवरण लिखने में कुछ प्रयास किए हैं जिन्हें आपको बदलने की आवश्यकता होगी:

  • Drupal 7 के लिए मेटा जनरेटर निकालें
  • CHANGELOG.txt जैसे बताओ-कथा-पाठ को हटा दें
  • एक्सपायर हेडर की जांच करें
  • HTTP 200/404/403 स्थिति कोड के लिए पैदल निर्देशिका
  • डिफ़ॉल्ट टेक्स्ट संदेशों के लिए देखें - सभी उपयोगकर्ता-सामना वाले संदेशों को ट्विक करें
  • HTML को देखो - डिफ़ॉल्ट html कोर और मॉड्यूल से एक गप्पी संकेत है

मूल रूप से: यह तकनीकी रूप से इस तथ्य को छुपाने के लिए संभव हो सकता है कि आपकी साइट ड्रुपल चलाती है, लेकिन आप इस पर इतना समय खर्च करेंगे कि यह इसके लायक नहीं है। आपको इसके बजाय इसे सुरक्षित बनाने और सुरक्षित संचालन पर ध्यान केंद्रित करना चाहिए (उदाहरण के लिए अपडेट को जल्दी से तैनात करने की क्षमता, लॉग की निगरानी, ​​आदि)।


आप Drupalजावास्क्रिप्ट ऑब्जेक्ट को भूल गए जिसे नाम बदलने की आवश्यकता है।
मोलॉट

@ अच्छा बिंदु। क्या यह संभव है? कैसे करना है पर कोई सूचक? मेरे मुद्दा यह है कि यह कर के लायक समय इतने पर अधिक सलाह जोड़ने नहीं है कैसे यह केवल उपयोगी है क्या करने के लिए अगर यह उस बिंदु आगे। मुझे आशा है कि यह वास्तव में कठिन है कि आप क्या उल्लेख करते हैं :)
greggles

ठीक है, मैंने इसे द्रुपल निर्देशिका पर बड़े पैमाने पर रेगेक्स के साथ परीक्षण किया और यह काम किया ... लेकिन मुझे विश्वास नहीं है कि यह वास्तव में अच्छा है। और यह निश्चित रूप से हर मॉड्यूल अपडेट के साथ * @ # अप करता है।
मोलॉट

सही बात। यह आपके समय के लायक नहीं है। अधिक महत्वपूर्ण बातों पर ध्यान दें :)
greggles

101

आप इसे पूरी तरह से छिपा नहीं सकते। इसके लिए सबसे ज्यादा जरूरी है हैकिंग कोर की जरूरत। सबसे बड़ा विवरण, Drupalजावास्क्रिप्ट चर है जो सामने वाले पृष्ठ या उस मामले के किसी भी पृष्ठ से पठनीय है।

यदि आप अपनी साइटों की सुरक्षा को यह छिपाना चाहते हैं कि यह एक ड्रुपल साइट है, तो आपका प्रयास कोड समीक्षाओं पर बेहतर खर्च होता है, क्योंकि यह इस तथ्य को छिपाने की कोशिश में है कि साइट ड्रुपल के साथ बनाई गई है।


7
माना। एक अन्य मृत देहात CSS / JS / छवि पथों की संरचना है।
फज्यो Mar76

2
आप यह भी /node/1देख सकते हैं कि क्या आता है या HTTP हेडर की जाँच करें ।
पॉल जोन्स

39
यदि आप अस्पष्टता के माध्यम से अपनी साइट को सुरक्षा के साथ छिपाने की कोशिश करते हैं, तो आप अपना समय बर्बाद करने वाले हैं।
डेव रीड

6
उपरोक्त सभी से सहमत हैं। इसके अलावा, यह उन लोगों के लिए कठिन होगा जो सीएमएस की तुलना करते हैं यह देखने के लिए कि कितने भयानक साइटें Drupal ;-) चल रही हैं
geerlingguy

जेरलिंग्लुग्गी जो कह रहा है, उस पर चर्चा हम यहाँ थे: group.drupal.org/node/113024#comments
coderintherye

42

यह करना आसान है, किम!

  • एक रिवर्स प्रॉक्सी का उपयोग करें या कष्टप्रद Drupal http हेडर को फ़िल्टर करने के लिए अपने http डेमन को कस्टमाइज़ करें
  • किसी भी Drupal डिफ़ॉल्ट फ़ोल्डर में http एक्सेस से इंकार करें
  • अपने HTML स्रोत को फिर से लिखने और अस्पष्ट करने के लिए PHP आउटपुट बफ़रिंग का उपयोग करें, अनावश्यक डेटा को हटा दें
  • अपने URL को गड़बड़ाने के लिए url उपनाम या custom_url_rewrite_in / आउटबाउंड का उपयोग करें
  • डिफ़ॉल्ट 404 त्रुटि को बदलें, अपडेट को हटा दें / बदल दें
  • अगर किसी को पता चल जाए तो कोई और बदलाव करें

और अंतिम लेकिन कम से कम नहीं, सुनिश्चित करें कि आपकी साइट इतनी सरल है कि सामान्य व्यवहारों के लिए जेएस या सीएसएस की आवश्यकता नहीं है (न ही दृश्य या सीटीओल्स का उपयोग करें ...), उपयोगकर्ता प्रमाणीकरण का समर्थन नहीं करता है, जिसका अर्थ है कि आपकी साइट चाहिए। एक स्थिर HTML साइट के रूप में सरल हो।

ठीक है, लोगों को यह विश्वास दिलाने के लिए कि आपकी साइट Drupal नहीं चलती है। वैसे भी, अस्पष्टता से सुरक्षा बेकार है।


@jcisio "वैसे भी, अस्पष्टता से सुरक्षा बेकार है।", आपको अपनी टिप्पणी में यह जोड़ना चाहिए: पी।
arpitr

@arpitr हर कोई इसे करता है, इसलिए मुझे लगता है कि मुझे इसकी आवश्यकता नहीं है;)
jcisio

34

उसी के संबंध में एक आधिकारिक लेख और चर्चा है ।

आप नहीं कर सकते। प्रयास मत करो

  • स्वचालित हमले (अब तक के सबसे आम हमले) अपने कारनामों को आजमाने से पहले सर्वर का निरीक्षण भी नहीं करते हैं
    किसी भी हाई प्रोफाइल साइट के लॉग निरीक्षण के लिए निरर्थक अनुरोधों के हजारों दिखाएगा /AspBB/db/betaboard.mdb _private/cmd.asp /scripts/../../winnt/system32/cmd.exe /wp-login/ /administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi... और किसी भी असंबंधित सिस्टम पर ऐतिहासिक कारनामे के प्रयास के किसी भी संख्या।
    शोषण पर हमले तब भी होते हैं, जब आपके ओएस या सीएमएस पर कारनामे मौजूद नहीं होते हैं। जो कुछ भी आप अपनी साइट को गलत पहचानने के लिए करते हैं उसे शौकिया हैकर्स द्वारा वैसे भी अनदेखा कर दिया जाएगा।
  • जो कुछ भी आप सोचते हैं कि आप छिपा सकते हैं, किसी भी प्रणाली के लिए अन्य सुराग हैं
    बस उन सभी स्ट्रिंग्स को हटा देना चाहिए जिनमें 'ड्रुपल' शामिल है, जो आपकी साइट को किसी भी उचित स्नूपर तक नहीं पहुंचाता है। ऐसे दर्जनों तरीके हैं जिनका उपयोग यह अनुमान लगाने के लिए किया जा सकता है कि आपके पृष्ठों की सेवा क्या है, यहां तक ​​कि यह बताने के लिए समर्पित सेवाएं कि क्या Drupal चल रही है। बस वे कीवर्ड जिन्हें आप पहचानते हैं और सोचते हैं कि एक खतरा है, असली संकेतकों का एक छोटा सा सबसेट है।
    Index.php /? Q = उपयोगकर्ता के लिए पूछें। फिर अपनी साइट को अपंग किए बिना उस प्रतिक्रिया को अक्षम करने का प्रयास करें।
  • अश्लीलता से सुरक्षा कोई सुरक्षा नहीं है। यह 'सुरक्षित' होने का झूठा आभास देता है जब आप केवल स्मोकस्क्रीन के पीछे कमजोरियों को छिपा रहे होते हैं जो कि किसी भी वास्तविक खतरे को प्रकट करने वाले किसी भी हमलावर के माध्यम से देख पाएंगे।
  • हालाँकि यह उस बिंदु पर कोड को हैक करना पूरी तरह से असंभव नहीं है जहां Drupal के अधिकांश निशान HTML स्रोत से छिपे हुए हैं, (यह सब के बाद खुला स्रोत है) ऐसा करने के लिए आवश्यक कदम जरूरी कोर को इतनी बुरी तरह से तोड़ देंगे कि कोड की आपकी हैक की गई शाखा वास्तविक सुरक्षा अद्यतनों के साथ असंगत होगा जो आप पैच नहीं कर सकते थे और वास्तव में सुरक्षा टीम द्वारा पहचाने गए किसी भी वास्तविक खतरे के लिए खुले होंगे। यह सिस्टम भेद्यता के लिए एक सही मार्ग है।
  • अधिकांश महत्वपूर्ण या उपयोगी मॉड्यूल का अपना कोड 'हस्ताक्षर' होता है, जो महत्वपूर्ण पुनर्लेखन के बिना छिपाना मुश्किल होता है। यदि आप 'दृश्य', 'cck', 'ad', 'imagecache', 'jquery', css-एकत्रीकरण, योगदान विषयों या अपनी साइट पर उपयोगी कुछ का उपयोग कर रहे हैं - तो कोई भी बता सकता है । यह छिपाना कि पूरी तरह से आमतौर पर थीम फ़ंक्शन के कुल रूपांतरण की आवश्यकता होगी - कम से कम। फिर भी, अश्लीलता शायद काम नहीं करेगी
  • कई उन्नत सुविधाओं की पहचान को दूर करने के लिए, जैसे कि Google Analytics की आसान स्थापना, जो Drupal लाइब्रेरी का उपयोग करने के लिए काम कर सकती है, आपको आवश्यक रूप से उन सुविधाओं को पूरी तरह से छोड़ देना चाहिए, या उन्हें इस तरह से फिर से लिखना चाहिए जो Drupal बुनियादी ढांचे का लाभ नहीं उठाते हैं । कभी-कभी यह संभव है, लेकिन सभी मामलों में यह प्रति-उत्पादक है।

आपको अपनी साइट को सुरक्षित रखने में भी रुचि हो सकती है।

याद रखें कभी भी कोर हैक न करें


हालांकि मैं इससे सहमत हूं, मुझे लगता है कि रक्षा की पहली पंक्ति के रूप में भी, पीएचपी और ड्रुपल का जिक्र करने वाले हेडर को हटाने के लिए एक अच्छी बात है, साथ ही साथ किसी भी गैर-सूचकांक php स्क्रिप्ट तक पहुंच की अनुमति नहीं है। नहीं, निश्चित रूप से लोगों को हमेशा यह पता लगाने का एक तरीका मिल जाएगा कि आप ड्रुपल चला रहे हैं, और सोच रहे हैं कि आप छिप सकते हैं। लेकिन कम से कम समझदार हैकर के लिए जीवन को थोड़ा कठिन बनाने में कोई बुराई नहीं है।
मैट फ्लेचर

1

यह छिपाने का कोई मतलब नहीं है कि आपकी साइट ड्रुपल चलाती है। यह विकासशील वेबसाइटों को देखने का गलत तरीका है। आपको सुरक्षा पर ध्यान केंद्रित करना चाहिए। सुनिश्चित करें कि आप सभी प्रतिभूतियों के उपायों को लागू करते हैं और सब कुछ ठीक हो जाएगा। दुनिया में यह छिपाने का एक कारण नहीं है कि आप एक निश्चित सेमी या अन्य सॉफ्टवेयर का उपयोग कर रहे हैं। Wappalyzer जैसे FF addons के साथ, आप एक पल में बता सकते हैं कि क्या कोई साइट Drupal का उपयोग करती है, इसलिए यह प्रश्न बहुत बढ़िया है।


1

एक अतिरिक्त चीज़ जो आप कर सकते हैं वह है डिफ़ॉल्ट फ़ाइल संरचना को बदलने के लिए फाइल अलायस मॉड्यूल का उपयोग करना।

फ़ाइल उपनाम मॉड्यूल आप अपने फाइल सिस्टम है, जबकि स्वच्छ देख पथ (यानी, कोई और अधिक / साइटों / डिफ़ॉल्ट / फ़ाइलें /) उपलब्ध कराने के सामान्य के अनुसार व्यवस्थित रखने के लिए क्षमता के साथ, आप अपने अपलोड की गई फ़ाइलों के लिए टोकन अनुकूलन उपनाम का उपयोग करने की अनुमति देता है।


1
तथा? यह प्रक्रिया के एक छोटे हिस्से को ठीक करता है और शायद सबसे महत्वपूर्ण हिस्सा भी नहीं।
greggles

1
मैं ऊपर के लोगों के सही उत्तरों को एक बार दोहराना नहीं चाहता था। मैं सिर्फ एक और टिप जोड़ता हूं। और हां यह टिप बहुत महत्वपूर्ण है, क्योंकि यह अब तक किया जाना सबसे कठिन था, और आमतौर पर एक साइट को समझने का एकमात्र तरीका ड्रुपल है, क्योंकि आमतौर पर वेबमास्टर इसके अलावा सामान्य चरण करते हैं। और हाँ, यह समझना बहुत आसान है कि यह फ़ाइल संरचना / फ़ोल्डर संगठन के कारण ही एक ड्रुपल साइट है।
जॉन

1

मैं अन्य लोगों से सहमत हूं कि आप इसे पूरी तरह से छिपा नहीं सकते। यदि आप HTML स्रोत को देखते हैं, तो आप देखेंगे कि कई बार CSS और JavaScript फ़ाइलों को एकत्र नहीं किया गया है। सीएसएस और जावास्क्रिप्ट एकत्रीकरण सक्षम होना चाहिए।


0

उस अतीत में, मैंने अपने रूबिक्स प्रोजेक्ट्स को लुसीडा सैन्स की तरह ठेठ रूबी फोंट के लिए अदला-बदली किया है, जो सभी कूल्हे बच्चों की तरह इनपुट आकार में वृद्धि कर रहे हैं।

एक और दूर स्वचलित क्षेत्रों के लिए "थ्रॉबर" ग्राफिक है। जब आप इनपुट आकार बढ़ाते हैं तो यह भी काम नहीं करता है। यहाँ आप एक चोरी कर सकते हैं: http://beta.seattlebedandbreakfast.com/misc/throbber.gif

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.