Después de la exploración automática en mi aplicación web, tengo el resultado de que "El servidor pierde inodos a través de ETags, encabezado encontrado con archivo / iconos / README, campos: 0x16a4 0x438c0000000".
He leído sobre ETags pero no veo ningún riesgo de seguridad relacionado con esto. Inodo definido como "El número de i-node del archivo se incluirá en el cálculo" es una de las configuraciones estándar. "
En primer lugar, este es un falso positivo . Nikto informa de este problema "El servidor fuga inodos a través de ETags" si hay un guión en el encabezado de ETag , que no es en sí una indicación de nada.
Un inodo es una estructura de datos utilizada por el sistema de archivos de Linux. Cada archivo y directorio tiene un inodo que almacena su nombre, tamaño y otros datos. Cada inodo tiene un número que lo identifica de manera única. Apache HTTPD usó esto en el ETag por un tiempo. El ETag es un identificador que debe identificar de manera única un archivo en el servidor web, y el número de inodo es un número que identifica de manera única un archivo en el sistema de archivos, por lo que parecía tener sentido para usar uno para el otro.
El número de inodo es información técnica del sistema de archivos. Si se expone, no se puede utilizar para explotar nada útil. Además, solo está expuesto en archivos que ya se pueden descargar. No me parece un riesgo real de seguridad si un servidor expone inodos.
Lea otras preguntas en las etiquetas automated-testing