Noi formarea de specialiști în domeniul securității informațiilor - pentru a aduce un specialist în domeniul securității informațiilor de la sol până la nivelul inițial. După formarea va fi în măsură să furnizeze servicii pentru a efectua teste de penetrare (hacking legal)
Ascunderea versiunea de Apache și PHP - acesta este unul dintre elementele în asigurarea siguranței serverului web. Versiunile vorbite ale acestor programe pot ușura sarcina de a găsi un intrus vulnerabilități cunoscute pentru această versiune, și, în consecință, la realizarea obiectivului principal - să pătrundă. Desigur, atacatorul poate merge pur și simplu prin toate cunoscute vulnerabilități pentru toate versiunile de Apache și PHP, dar această activitate poate prinde ochiul de mod_security. fail2ban sau sistem de administrator. Ca urmare, IP-ul, din care atacul este, va fi atribuit interdicția. În orice caz, dacă ne ascundem versiune, aceasta nu va afecta calitatea muncii a serverului nostru (utilizatorii pur și simplu nu se observa), si biscuiti este mai mult de lucru.
Hai, pentru început, să vedem ce fel de informații sunt furnizate de serverele noastre pe diferite sisteme de operare. Pentru a face acest lucru, încercați să deschideți o pagină sau un director care nu există:
Prima captura de ecran - este Windows cu Apache 2.4:
Foarte bine, nici o versiune de server a sistemului de operare sau de date.
Aceasta este Linux Mint (Ubuntu) c Apache 2.4:
Am fost emise cu măruntaie și versiune Apache, și chiar sistemul de operare sub care funcționează.
Acest lucru este, probabil, deja ghicit, Linux Debian c Apache 2.2:
Din nou, am toate informațiile fac obiectul unui dumping.
Dar, înapoi la Windows. Într-adevăr totul este atât de bun? Nu la toate, Apache adaugă încă informații detaliate în antetele HTTP de răspuns care se potrivesc cu numărul versiunii Apache.
Vezi tu? Noi dezvăluit nu numai pe informațiile Apache și PHP, dar, de asemenea, sistemul de operare, biții săi.
Și doar pentru două ori nu vstovat verifica Linux nostru:
Pentru a ascunde datele. necesare în fișierul de configurare Apache pentru a adăuga două linii.
În Windows, acest fișier este în confhttpd.conf director cu Apache instalat. Cei care au pus serverul pe instrucțiunile mele. va găsi acest fișier aici:
Putem face împreună, iar acum totul este în regulă:
Ascunderea versiune PHP
Un alt risc potențial de securitate - este o versiune PHP a unei scurgeri în anteturile de răspuns HTTP. În mod implicit, Apache Web Server include versiunea PHP a "Prin Susținut-X-" antetul de răspuns HTTP.
Cei care au pus pe instrucțiunile de pe serverul meu. acest fișier se află aici: C: ServerbinPHPphp.ini
Reporniți serverul și verificați dacă:
Rezultatul dorit este atins! Înapoi la Linux nostru.
Pe Debian, Ubuntu sau Linux Mint: