Як приховати версії веб-сервера apache і php (на linux і windows)

Готуємо фахівця в області ІБ - Виховаємо фахівця в області ІБ з нуля до початкового рівня. Після навчання зможете надавати послуги з проведення тестування на проникнення (легальний хакинг)

Приховування версій Apache і PHP - це один з елементів в забезпеченні безпеки веб-сервера. Знання версій цих програм може полегшити задачу зловмисника з пошуку відомих для даної версії вразливостей і, як наслідок, в досягнення основної мети - проникненню. Звичайно, зловмисник може просто перебирати всі відомі уразливості для всіх версій Apache і PHP, але ця активність може потрапити в поле зору mod_security. fail2ban або сисадміна. В результаті чого IP, з якого ведеться атака, буде нагороджений баном. У будь-якому випадку, якщо ми сховаємо версії, це ніяк не відіб'ється на якості роботи нашого сервера (користувачі цього просто не помітять), а хакерам це додасть роботи.

Давайте, для початку, подивимося, яку інформацію видають наші сервера на різних операційних системах. Для цього спробуємо відкрити сторінку або каталог, яких не існує:

Перший скріншот - це Windows з Apache 2.4:

Як приховати версії веб-сервера apache і php (на linux і windows)

Дуже непогано, немає ні версії сервера, ні даних про ОС.

Це Linux Mint (Ubuntu) c Apache 2.4:

Як приховати версії веб-сервера apache і php (на linux і windows)

Нам з потрохами видана і версія Apache і навіть ОС, під якою він працює.

Це, як все вже, напевно, здогадалися, Linux Debian c Apache 2.2:

Як приховати версії веб-сервера apache і php (на linux і windows)

Знову нам вивалився вся інформація.

Але повернемося до Windows. Невже там все так добре? Зовсім ні, Apache все одно додає детальну інформацію в HTTP заголовки відповіді, які відповідають номеру версії Apache.

Як приховати версії веб-сервера apache і php (на linux і windows)

Бачите? Нам розкрита не тільки інформація про Apache і PHP, але і про ОС, її битности.

І відразу, щоб двічі не встовать, перевіримо наші Лінукс:

Як приховати версії веб-сервера apache і php (на linux і windows)

Як приховати версії веб-сервера apache і php (на linux і windows)

Щоб приховати ці дані. потрібно в конфігураційний файл Апача додати два рядки.

На Windows це файл лежить в каталозі confhttpd.conf з встановленим Apache. Ті, хто ставили сервер по моїй інструкції. знайдуть цей файл тут:

Чи можемо переконатися разом, тепер все відмінно:

Як приховати версії веб-сервера apache і php (на linux і windows)

Як приховати версії веб-сервера apache і php (на linux і windows)

Ховаємо версію PHP

Інша потенційна загроза безпеки - це витік версії PHP у відповіді заголовків HTTP. За замовчуванням, веб-сервер Apache включає версію PHP в "X-Powered-By" відповіді HTTP заголовка.

Як приховати версії веб-сервера apache і php (на linux і windows)

Як приховати версії веб-сервера apache і php (на linux і windows)

У тих, хто ставив сервер по моїй інструкції. цей файл знаходиться тут: C: ServerbinPHPphp.ini

Перезапустити сервер і перевіримо:

Як приховати версії веб-сервера apache і php (на linux і windows)

Бажаний результат досягнутий! Повертаємося до наших Лінукс.

На Debian, Ubuntu або Linux Mint: