Як приховати версію Apache у HTTP заголовках
Колеги всім привіт.
У цій статті ми поговоримо про те, як приховати версію веб-сервера Apache в HTTP заголовках.
У той момент коли користувач надсилає запит на ваш веб-сервер Apache, то у відповідь Apache в HTTP заголовках відправляє користувачеві конфіденційну інформацію таку як номер версії веб-сервера Apache, короткі відомості про операційну систему сервера, встановлені модулі Apache і т.д. Відображення версії Apache у заголовку HTTP несе за собою загрозу безпеці вашого сайту. Цієї інформації може бути достатньо для зловмисників, щоб використовувати вразливості і отримати доступ до вашого веб-сервера Apache.
Щоб зменшити ймовірну зламування вашого веб сервера і зменшити атаки на ваш сайт, то цю інформацію необхідно приховати, щоб позбавити зловмисника інформації про версію вашого веб сервера, і про платформу в цілому.
За промовчанням веб-сервер Apache надсилає номер версії Apache, а також коротку інформацію про операційну систему сервера.
Як бачимо з прикладу, Apache відправляє заголовок під ім'ям Server з конфіденційною інформацією. У цій інформації знаходиться версія нашого веб-сервера та ім'я операційної системи.
Щоб приховати номер версії веб-сервера та відомості про операційну систему сервера, вам потрібно додати дві директиви до конфігураційного файлу веб-сервера Apache. Директиви називаються ServerTokens і ServerSignature.
- ServerSignature це директива, яка дозволяє додати рядок нижнього колонтитулу, що відображає ім'я сервера та номер версії веб-сервера.
- ServerTokens це директива, яка також відповідає за показ номер версії веб-сервера.
Відкриваємо конфігураційний файл веб-сервера Apache.
Debian/Ubuntu
$. sudo vi /etc/apache2/apache2.conf
RHEL/CentOS
$. sudo vi /etc/httpd/conf/httpd.conf
У конфігураційний файл потрібно додати дві ці директиви.
ServerTokens Prod
ServerSignature Off
Після того як ми додали директиви, то тепер нам потрібно перезапустити веб сервер Apache, використовуючи наступну команду:
Debian/Ubuntu
$. sudo service apache2 restart
RHEL/CentOS
$. sudo service httpd restart
Перезапуск браузер і перевіряємо.
Як бачимо тепер параметр Server не містить жодної конфіденційної інформації, яка може допомогти зловмиснику нашкодити вашому сайту.
Дякую всім, я сподіваюся що вам моя стаття хоч чимось допомогла.
