क्या अपाचे में "सर्वर" प्रतिक्रिया हेडर रखने का कोई कारण है


16

मेरा सर्वर Server: Apache/2.2.15 (CentOS)सभी अनुरोधों का जवाब देता है । मुझे लगता है कि यह मेरे सर्वर आर्किटेक्चर को दूर करता है जिससे प्रयासों को हैक करना आसान हो जाता है।

क्या यह कभी वेब ब्राउज़र के लिए उपयोगी है? क्या मुझे इसे रखना चाहिए?


जाहिर है मैं अपने सर्वर को यम-क्रोन के साथ भी अपडेट कर रहा हूं!
निक कॉटरेल

जवाबों:


16

मेरी राय में, जितना संभव हो उतना इसे मुखौटा करना सबसे अच्छा है। यह एक उपकरण है जिसका उपयोग आप वेब साइट को हैक करने के लिए करते हैं - इसकी तकनीक की खोज करें, उस तकनीक के ज्ञात दोषों का उपयोग करें। यही कारण है कि थोड़ी देर पहले सुरक्षा सर्वोत्तम अभ्यास ने "/view/page.jsp" या "/view/page.asp" के बजाय "/ view / पृष्ठ" के रूप में url का प्रचार करना शुरू कर दिया ... इसलिए अंतर्निहित तकनीक उजागर नहीं किया जाएगा।

इस बारे में कुछ चर्चाएँ हैं जैसे /programming/843917/why-does-the-server-http-header-exist और http://www.troyhunt.com/2012/02/shhh- डोंट-लेट-योर-रेस्पॉन्स-हेडर। html और जाहिर है हैकिंग एक्सपोज्ड बुक।

इसके अलावा सुरक्षा SE /security/23256/what-is-the-http-server-response-header-field-used-for पर यह

लेकिन ध्यान रखें कि यह आपके सर्वर को सुरक्षित करने के लिए एक अंत नहीं है। सही दिशा में सिर्फ एक और कदम। यह किसी भी हैक को अंजाम देने से नहीं रोकता है। यह बस इसे कम दिखाई देता है जैसे हैक क्या किया जाना चाहिए।


6
URL में फ़ाइल नाम एक्सटेंशन को हटाने का सुरक्षा से कोई लेना-देना नहीं है ... यह मनुष्यों के लिए अधिक पठनीय है। आपके आवेदन प्लेटफॉर्म पर एक हजार अन्य तरीके हैं।
ब्रैड

यदि सर्वर ठीक से कॉन्फ़िगर किया गया है, तो प्लेटफॉर्म को वाना-बी अटैक करने वाले को प्रकट करना, वैसे भी उसकी मदद नहीं करेगा।
कुलथु

19

आप चाहें तो सर्वर हेडर को बदल सकते हैं, लेकिन सुरक्षा के लिए इस पर भरोसा नहीं करते। केवल अद्यतित रखने से ही ऐसा होगा, क्योंकि एक हमलावर सिर्फ आपके सर्वर हेडर को नजरअंदाज कर सकता है और समय की शुरुआत से हर ज्ञात शोषण का प्रयास कर सकता है।

RFC 2616 राज्य, भाग में:

सर्वर कार्यान्वयनकर्ताओं को इस क्षेत्र को एक विन्यास विकल्प बनाने के लिए प्रोत्साहित किया जाता है।

और अपाचे ने ServerTokensनिर्देशन के साथ किया । यदि आप चाहें तो आप इसका उपयोग कर सकते हैं, लेकिन फिर से, ऐसा मत सोचो कि यह जादुई रूप से आपको हमला करने से रोकता है।


4
+1 मेरे लॉग सॉफ़्टवेयर के लिए "हमलों" से भरे हुए हैं जो स्थापित नहीं हैं। हैकर्स ने अपने पास मौजूद सब कुछ फेंक दिया और देखा कि क्या चिपक गया है। यदि ServerTokens को बदलने में कोई उपयोगिता है, तो यह नगण्य है।
क्रिस एस

@ क्रिस वास्तव में। मैं भी परेशान नहीं करता; मैं इसके बजाय अपने वेब सर्वरों को अद्यतित रखता हूं।
माइकल हैम्पटन

3
मैं असहमत हूं। हालांकि यह मामूली हो सकता है, सुरक्षा कभी भी मजबूत नहीं होती है, और कुछ भी जो खामियों को कम करने या प्रदर्शन को कम करने में मदद कर सकता है, उसे लागू करना होगा।
मवरोन

2
स्वयंसेवक संस्करण की जानकारी क्यों? मैं हमेशा "ServerSignature Off" और "ServerTokens Prod" सेट करता हूं। इस बात से भी सहमत हैं कि अपने वेब सर्वर को अद्यतित रखना एकमात्र वास्तविक सुरक्षा है। यदि आप संस्करण की जानकारी नहीं निकालते हैं और तीसरे पक्ष के प्रवेश परीक्षण के लिए प्रस्तुत करते हैं, तो वे इसे "सूचना रिसाव" के रूप में चिह्नित करना सुनिश्चित करते हैं।
HTTP500

@ HTTP500 मैं नियमित आधार पर पीसीआई-डीएसएस अनुपालन का सामना करता हूं। यह एक पूर्ण गैर-मुद्दा है, बशर्ते आप पैच अप हो। जहां यह एक मुद्दा बन जाता है जब यह सिस्टम के अन्य हिस्सों के बारे में जानकारी लीक करता है (यानी मैं बता सकता हूं कि ओपी CentOS 5.x चल रहा है) या आपने अद्यतित नहीं रखा।
माइकल हैम्पटन

2

पूर्ण स्ट्रिंग दिखाते हुए, संस्करण की जानकारी के साथ, आप 0day हमलों से बढ़े हुए जोखिम पर छोड़ सकते हैं यदि हमलावर इस बात की सूची रखता है कि कौन सा सर्वर किस सॉफ़्टवेयर को चलाता है।

कहा जा रहा है, आपको यह उम्मीद नहीं करनी चाहिए कि सर्वर स्ट्रिंग को छुपाना आपको हैकिंग के प्रयासों से बचाएगा। जिस तरह से प्रतिक्रियाओं और त्रुटियों की सूचना दी जाती है, उसके आधार पर एक सर्वर को फिंगरप्रिंट करने के तरीके हैं।

मैं अपने स्ट्रिंग्स को अक्षम करता हूं, जहां तक ​​मैं कर सकता हूं लेकिन मैं उन लोगों के बारे में पसीना नहीं करता हूं जिन्हें मैं छिपा नहीं सकता (जैसे ओपनएसएसएच)।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.