Apache에서 "서버"응답 헤더를 유지할 이유가 있습니까?


16

내 서버 Server: Apache/2.2.15 (CentOS)는 모든 요청에 응답 합니다. 이로 인해 서버 아키텍처가 사라져서 시도를 해킹하기가 더 쉬워집니다.

이것은 웹 브라우저에 유용합니까? 내가 계속해야합니까?


분명히 서버를 yum-cron으로 업데이트하고 있습니다!
Nic Cottrell

답변:


16

제 생각에는 이것을 최대한 많이 숨기는 것이 가장 좋습니다. 웹 사이트를 해킹하는 데 사용하는 도구 중 하나입니다. 기술을 발견하고 해당 기술의 알려진 결함을 사용하십시오. 보안 모범 사례가 "/view/page.jsp"또는 "/view/page.asp"대신 "/ view / page"형식으로 URL을 사용하도록 승격하기 시작한 것과 동일한 이유입니다. 따라서 기본 기술 노출되지 않습니다.

/programming/843917/why-does-the-server-http-header-existhttp://www.troyhunt.com/2012/02/shhh- 와 같은 몇 가지 토론이 있습니다 . dont-let-your-response-headers.html 및 명백하게 해킹 노출 책.

또한 보안 SE /security/23256/what-is-the-http-server-response-header-field-used-for

그러나 이것이 서버 보안의 끝이 아님을 명심하십시오. 올바른 방향으로 한 걸음 더 나아가십시오. 해킹이 실행되는 것을 막지는 않습니다. 그것은 어떤 핵을 수행 해야하는지에 대해 덜 눈에 띄게 만듭니다.


6
URL에서 파일 이름 확장자를 제거하면 보안과 아무 관련이 없습니다. 사람이 더 쉽게 읽을 수 있습니다. 애플리케이션 플랫폼이 공개되는 다른 방법에는 수천 가지가 있습니다.
Brad

서버가 올바르게 구성된 경우 공격자에게 플랫폼을 공개해도 도움이되지 않습니다.
크 툴후

19

원하는 경우 서버 헤더를 변경할 수 있지만 보안을 위해 이것을 고려하지 마십시오. 침입자는 서버 헤더를 무시하고 알려진 모든 익스플로잇을 처음부터 시도 할 수 있기 때문에 최신 상태로 유지하는 것이 좋습니다.

RFC 2616 상태 :

서버 구현자는이 필드를 구성 가능한 옵션으로 만드는 것이 좋습니다.

그리고 아파치는 ServerTokens지시어 와 함께했습니다 . 원한다면 이것을 사용할 수 있지만, 다시는 그것이 당신이 공격당하는 것을 마 법적으로 막을 것이라고 생각하지 마십시오.


4
+1 내 로그에는 설치되지 않은 소프트웨어에 대한 "공격"이 가득합니다. 해커는 방금 가지고있는 모든 것을 버리고 어떤 것을 고수하는지 확인합니다. ServerToken을 변경하는 데 유용한 유틸리티가 있다면 무시해도 좋습니다.
Chris S

@ChrisS 실제로. 나는 귀찮게하지 않습니다; 대신 웹 서버를 최신 상태로 유지합니다.
Michael Hampton

3
나는 동의하지 않습니다. 사소한 것이지만 보안은 충분히 강력하지 않으며 결함을 가져 오거나 성능을 저하시키지 않으면 서 도움이 될 수있는 모든 것을 시행해야합니다.
mveroone

2
왜 자원 봉사자 버전 정보입니까? 항상 "ServerSignature Off"및 "ServerTokens Prod"를 설정했습니다. 또한 웹 서버를 최신 상태로 유지하는 것이 유일한 보호 방법이라는 데 동의합니다. 버전 정보를 제거하지 않고 타사 침투 테스트에 제출하면이를 "정보 유출"로 표시해야합니다.
HTTP500

@ HTTP500 정기적으로 PCI-DSS 준수를 처리합니다. 패치가 완료된 경우 문제가 아닌 완전한 문제입니다. 문제가되는 곳 은 시스템의 다른 부분에 대한 정보가 유출 되거나 (즉, OP가 CentOS 5.x를 실행하고 있음을 알 수 있습니다) 최신 상태가 아닌 경우입니다.
Michael Hampton

2

공격자가 어떤 소프트웨어를 실행하는 서버 목록을 유지 한 경우 버전 정보와 함께 전체 문자열을 표시하면 0 일 공격의 위험이 높아질 수 있습니다.

즉, 서버 문자열을 숨기면 해킹 시도를 방지 할 수 있습니다. 응답 및 오류가보고되는 방식에 따라 서버를 지문 처리하는 방법이 있습니다.

가능한 한 문자열을 비활성화하지만 숨길 수없는 문자열 (예 : OpenSSH)에 대해서는 땀을 흘리지 않습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.