Recientemente, InfoSec me informó de que debemos ser cuidadosos con los ETags que utilizan Apache WebServer (HTTPD), ya que revelan inode y se pueden aprovechar especialmente en NFS, etc.
Pero me mudo a Tomcat 7. ¿También debo preocuparme por todas estas vulnerabilidades de ETag en Tomcat? Si es así, ¿cómo puedo mitigar?
Gracias.
Las herramientas de seguridad a veces informan esta exposición de inodo ETag cuando no está allí.
A menos que tenga una versión antigua de Apache (1.3.27 o anterior), le recomiendo que desafíe al equipo de infosec a demostrar que es real.
Tomcat 7 es un producto completamente diferente escrito en Java y no calcula los ETags de manera que pueda exponer información confidencial del servidor. Por lo tanto, No.
Lea otras preguntas en las etiquetas known-vulnerabilities vulnerability-scanners