Apache에서 “서버”응답 헤더를 유지할 이유가 있습니까? (CentOS)는 모든 요청에 응답 합니다.

내 서버 Server: Apache/2.2.15 (CentOS)는 모든 요청에 응답 합니다. 이로 인해 서버 아키텍처가 사라져서 시도를 해킹하기가 더 쉬워집니다.

이것은 웹 브라우저에 유용합니까? 내가 계속해야합니까?



답변

제 생각에는 이것을 최대한 많이 숨기는 것이 가장 좋습니다. 웹 사이트를 해킹하는 데 사용하는 도구 중 하나입니다. 기술을 발견하고 해당 기술의 알려진 결함을 사용하십시오. 보안 모범 사례가 “/view/page.jsp”또는 “/view/page.asp”대신 “/ view / page”형식으로 URL을 사용하도록 승격하기 시작한 것과 동일한 이유입니다. 따라서 기본 기술 노출되지 않습니다.

/programming/843917/why-does-the-server-http-header-existhttp://www.troyhunt.com/2012/02/shhh- 와 같은 몇 가지 토론이 있습니다 . dont-let-your-response-headers.html 및 명백하게 해킹 노출 책.

또한 보안 SE /security/23256/what-is-the-http-server-response-header-field-used-for

그러나 이것이 서버 보안의 끝이 아님을 명심하십시오. 올바른 방향으로 한 걸음 더 나아가십시오. 해킹이 실행되는 것을 막지는 않습니다. 그것은 어떤 핵을 수행 해야하는지에 대해 덜 눈에 띄게 만듭니다.


답변

원하는 경우 서버 헤더를 변경할 수 있지만 보안을 위해 이것을 고려하지 마십시오. 침입자는 서버 헤더를 무시하고 알려진 모든 익스플로잇을 처음부터 시도 할 수 있기 때문에 최신 상태로 유지하는 것이 좋습니다.

RFC 2616 상태 :

서버 구현자는이 필드를 구성 가능한 옵션으로 만드는 것이 좋습니다.

그리고 아파치는 ServerTokens지시어 와 함께했습니다 . 원한다면 이것을 사용할 수 있지만, 다시는 그것이 당신이 공격당하는 것을 마 법적으로 막을 것이라고 생각하지 마십시오.


답변

공격자가 어떤 소프트웨어를 실행하는 서버 목록을 유지 한 경우 버전 정보와 함께 전체 문자열을 표시하면 0 일 공격의 위험이 높아질 수 있습니다.

즉, 서버 문자열을 숨기면 해킹 시도를 방지 할 수 있습니다. 응답 및 오류가보고되는 방식에 따라 서버를 지문 처리하는 방법이 있습니다.

가능한 한 문자열을 비활성화하지만 숨길 수없는 문자열 (예 : OpenSSH)에 대해서는 땀을 흘리지 않습니다.