Acabo de darme cuenta de que la página 403 Prohibida (la predeterminada, no la personalizada) muestra información del servidor:
Servidor Apache / 2.2.3 (Red Hat) en ... Puerto 80
¿Está revelando esta información un riesgo de seguridad?
Acabo de darme cuenta de que la página 403 Prohibida (la predeterminada, no la personalizada) muestra información del servidor:
Servidor Apache / 2.2.3 (Red Hat) en ... Puerto 80
¿Está revelando esta información un riesgo de seguridad?
Revelar que la información es un riesgo de seguridad, en el contexto de una evaluación de seguridad de su sitio web. (Estoy hablando de evaluaciones de estilo de casilla de verificación aquí)
Nada más que eso: solo dificulta la toma de huellas dactilares en el servidor web, pero de ninguna manera es imposible, ni siquiera difícil. No obstaculizará a ningún atacante que apunte específicamente al sitio web, ni siquiera un poco, aunque lo obligará a realizar acciones que posiblemente afectarán a algunos IDS. puede dificultar algunos rastreadores automáticos o ataques masivos. aunque.
Lo clasificaría en la lista de "mejores prácticas".
Directamente, no. Este es un asunto de seguridad a través de la oscuridad. La eliminación de los encabezados del servidor no elimina las vulnerabilidades y las funciones asociadas con él.
En el contexto de riesgo (riesgo = probabilidad x consecuencia), podría disminuir la posibilidad de ser atacado por algunas herramientas automatizadas que dependen de la toma de huellas dactilares de sus servicios. Las consecuencias seguirían siendo las mismas.
Esta pregunta ya cubrió esta discusión sobre la seguridad a través de la oscuridad hasta un buena medida. La respuesta aceptada en esa pregunta tiene un argumento muy convincente, que estoy de acuerdo.
Mis pensamientos sobre esto son que ocultar información es útil para seguridad en muchos casos, ya que puede forzar a un atacante a generar más "Ruido" que puede ser detectado. - Rory
Definitivamente proporciona información interesante para posibles atacantes sobre su sistema (sistema operativo, tipo de servidor web y versión). Así que supongo que sería prudente eliminar esa información por completo o cambiar a algo más genérico / fácil de usar.
Debes revisar tu archivo httpd.conf para ServerTokens
y ServerSignature
para hacer los cambios relevantes.
Mostrar banners y versiones podría afectar la seguridad de su sistema si existen vulnerabilidades de seguridad para ese software y esas versiones. Por lo tanto, si mantiene sus aplicaciones actualizadas, mostrar los banners no afecta la seguridad, pero si existe una vulnerabilidad de seguridad, mostrar los banners y las versiones reduce la seguridad.
También es así como OSSTMM responderá a tu pregunta. Mostrar un banner o una versión es una Exposición. Las exposiciones solo cuentan para calcular RAVs si también están asociadas a Esposure a Vulnerability, si no, la Exposición no cuenta.
Lea otras preguntas en las etiquetas webserver apache error-handling