Можно узнать версию Apache HTTPD, когда ServerSignature выключен?

Question

У меня вопрос. Могу ли я узнать версию Apache, когда полная подпись отключена. Возможно ли это? Если да, то как? Я думаю, что это возможно, потому что черные хаты, взламывающие большие корпоративные серверы, а знание версии услуг жертвы имеет важное значение. Как вы думаете? Благодарю.

Answer 1

Ну для начала есть два (или даже три) вещи, чтобы скрыть:

1. ServerHeader - который показывает версию в поле ответа сервера. Это не может быть изменено в конфигурации Apache, но может быть уменьшено до «Apache».
2. ServerSignature - который отображает версию сервера в нижнем колонтитуле страниц ошибок.
3. X-Powered-By, который не используется Apache, но используется серверами и службами back-end, он может отправлять запросы (например, PHP, серверы J2EE ... и т. Д.).

Теперь серверы показывают некоторую информацию из-за различий в том, как работают или как они интерпретируют спецификацию. Например, порядок заголовков ответов, капитализация, как они реагируют на определенные запросы, дают ключ к тому, какое серверное программное обеспечение might используется для ответа на запросы HTTP. Однако, используя это для отпечатков пальцев, определенная версия этого программного обеспечения более сложна, если не будет очевидного, наблюдаемого изменения со стороны клиента.

Другие варианты включают просмотр страницы состояния сервера, хотя вы бы надеялись, что любой администратор, достаточно умный, чтобы уменьшить заголовок сервера по умолчанию, также ограничит доступ к странице состояния сервера. Или через другое отверстие безопасности (например, возможность загружать исполняемые сценарии загрузки и т.п.).

Я бы предположил, что большинство хакеров будут знать об ошибках и эксплойтах в некоторых версиях Apache или других веб-серверах и попытаться выяснить, может ли кто-нибудь из них быть использован, а не пытаться угадать конкретную версию в первую очередь.

В самом деле, как интересное в сторону, Apache сами уже давно считают, что сокрытие информации заголовка сервера бессмысленно «безопасность через сокрытие» (точка I, и многие другие, не согласны с ними) even putting this in their documention:

Установка ServerTokens на минимальный уровень не рекомендуется, так как затрудняет отладку межоперационных проблем. Также отмечают, что отключение заголовка Server: ничего не делает, чтобы сделать вашим сервером более безопасным. Идея «безопасности через безвестность» - это миф и приводит к ложному чувству безопасности.

И даже разрешение открытого доступа к their server-status page.