অ্যাপাচে "সার্ভার" প্রতিক্রিয়া শিরোনাম রাখার কোনও কারণ আছে কি?

আমার সার্ভারটি Server: Apache/2.2.15 (CentOS)সমস্ত অনুরোধের সাথে সাড়া দেয় । আমি অনুমান করি যে এটি আমার সার্ভারের আর্কিটেকচারকে হ্যাক প্রচেষ্টা সহজ করে তোলে।

এটি কি কখনও কোনও ওয়েব ব্রাউজারে কার্যকর হয়? আমার কি তা চালিয়ে দেওয়া উচিত?

apache-2.2 http-headers

— নিক কট্রেল
সূত্র

স্পষ্টতই আমি আমার সার্ভারগুলি ইয়াম ক্রোন দিয়ে আপডেট রাখছি!

— নিক কোটারেল

উত্তর:

আমার মতে, এটি যতটা সম্ভব মুখোশ করা ভাল। এটি কোনও একটি সরঞ্জাম যা আপনি কোনও ওয়েবসাইট হ্যাক করার জন্য ব্যবহার করেন - এর প্রযুক্তিটি আবিষ্কার করুন, সেই প্রযুক্তির জ্ঞাত ত্রুটিগুলি ব্যবহার করুন। কিছুক্ষণ আগে সিকিউরিটি সেরা অনুশীলন করার কারণেই কেন "/ ভিউ / পৃষ্ঠা.জেপি" বা "/ ভিউ / পৃষ্ঠা.এএসপি" এর পরিবর্তে "/ ভিউ / পৃষ্ঠা" আকারে url থাকতে প্রচার শুরু করেছিল ... তাই অন্তর্নিহিত প্রযুক্তি প্রকাশ করা হবে না।

এ সম্পর্কে কিছু আলোচনা রয়েছে যেমন /programming/843917/why-does-the-server-http-header-exist এবং http://www.troyhunt.com/2012/02/shhh- আপনার প্রতিক্রিয়া-শিরোনাম html এবং স্পষ্টতই হ্যাকিং এক্সপোজ বইটি না।

এছাড়াও এটি সুরক্ষা এসই /security/23256/ কি- is- the-http-server-response- header- field- used- জন্য

তবে মনে রাখবেন যে এটি আপনার সার্ভারগুলি সুরক্ষিত করার জন্য শেষ নয়। সঠিক দিকে আরও একটি ধাপ। এটি কার্যকর করার জন্য কোনও হ্যাক প্রতিরোধ করে না। এটি কেবল হ্যাকটি কী করা উচিত তা কম দৃশ্যমান করে তোলে।

— সংক্ষিপ্তসার ETL
সূত্র

ইউআরএলগুলিতে ফাইলের নাম এক্সটেনশনগুলি সরিয়ে ফেলার সুরক্ষার সাথে কোনও সম্পর্ক নেই ... এটি মানুষের পক্ষে আরও পঠনযোগ্য। আপনার অ্যাপ্লিকেশন প্ল্যাটফর্ম প্রকাশের জন্য আরও হাজার হাজার উপায় রয়েছে।

— ব্র্যাড

সার্ভারটি সঠিকভাবে কনফিগার করা থাকলে, আক্রমণকারীকে চাওয়া-পাওয়া প্ল্যাটফর্মটি তাকে যাইহোক সাহায্য করবে না।

— চিতুলহু

আপনি চাইলে সার্ভারের শিরোনামটি পরিবর্তন করতে পারেন তবে সুরক্ষার জন্য এটির উপর নির্ভর করবেন না। কেবলমাত্র আপ টু ডেট রাখাই এটি করবে, যেহেতু কোনও আক্রমণকারী কেবল আপনার সার্ভারের শিরোনামটিকে উপেক্ষা করতে পারে এবং সময়ের শুরু থেকেই প্রতিটি জ্ঞাত শোষণ চেষ্টা করে।

আরএফসি 2616 অংশে বলে:

সার্ভার প্রয়োগকারীরা এই ক্ষেত্রটিকে একটি কনফিগারযোগ্য বিকল্প হিসাবে উত্সাহিত করা হচ্ছে।

এবং আপাচি ServerTokensনির্দেশ দিয়েছিলেন। আপনি যদি চান তবে এটি ব্যবহার করতে পারেন, তবে আবারও ভাববেন না যে এটি যাদুতে আপনাকে আক্রমণ থেকে বিরত করবে।

— মাইকেল হ্যাম্পটন
সূত্র

+1 আমার লগগুলি ইনস্টল করা হয়নি এমন সফ্টওয়্যারটির জন্য "আক্রমণ" দিয়ে পূর্ণ। হ্যাকাররা তাদের যা কিছু পেয়েছে কেবল তা ফেলে দেয় এবং কী লাঠিগুলি দেখায়। সার্ভার টোকেনগুলি পরিবর্তন করতে যদি কোনও উপযোগিতা থাকে তবে এটি সর্বোপরি নগণ্য।

— ক্রিস এস

পছন্দ করেছেন আমিও বিরক্ত করি না; পরিবর্তে আমি আমার ওয়েব সার্ভারগুলিকে টু ডেট রাখি।

— মাইকেল হ্যাম্পটন

আমি একমত না এটি ছোটখাটো হতে পারে, তবে সুরক্ষা কখনওই যথেষ্ট শক্তিশালী হয় না এবং ত্রুটিগুলি না আনতে বা অভিনয় হ্রাস না করে সহায়তা করতে পারে এমন কোনও কিছুই প্রয়োগ করতে হবে।

— মভেরুন

স্বেচ্ছাসেবক সংস্করণ তথ্য কেন? আমি সর্বদা "সার্ভারসাইনচার অফ" এবং "সার্ভারটোকেন্স প্রোড" সেট করি। এছাড়াও সম্মত হন যে আপনার ওয়েব সার্ভারগুলি আপ টু ডেট রাখা কেবল আসল সুরক্ষা protection যদি আপনি সংস্করণ তথ্যটি সরিয়ে না ফেলে এবং তৃতীয় পক্ষের অনুপ্রবেশ পরীক্ষায় জমা দেন তবে তারা অবশ্যই এটিকে "তথ্য ফাঁস" হিসাবে পতাকাঙ্কিত করবেন বলে নিশ্চিত।

— HTTP500

@ HTTP500 আমি নিয়মিতভাবে পিসিআই-ডিএসএস সম্মতির সাথে ডিল করি। এটি পুরোপুরি নন-ইস্যু, যদি আপনি প্যাচ আপ হন তবে। সিস্টেমের অন্যান্য অংশগুলি সম্পর্কে তথ্য ফাঁস হওয়ার পরে এটি যেখানে ইস্যুতে পরিণত হয় (অর্থাত্ আমি বলতে পারি যে ওপি সেন্টোস ৫.০ চলছে) বা আপনি আপ টু ডেট রাখেননি।

— মাইকেল হ্যাম্পটন

সংস্করণ তথ্য সহ পুরো স্ট্রিংটি দেখানো আপনাকে যদি 0 দিনের আক্রমণ থেকে বর্ধিত ঝুঁকিতে ফেলে দিতে পারে, যদি আক্রমণকারী কোন সার্ভারগুলি কোন সফ্টওয়্যার চালায় তার একটি তালিকা রাখে।

বলা হচ্ছে, কোনও সার্ভার স্ট্রিং লুকানো আপনাকে হ্যাকিংয়ের প্রচেষ্টা থেকে রক্ষা করবে এমন আশা করা উচিত নয়। প্রতিক্রিয়া এবং ত্রুটিগুলি যেভাবে প্রতিবেদন করা হয়েছে তার উপর ভিত্তি করে কোনও সার্ভারকে ফিঙ্গারপ্রিন্ট করার উপায় রয়েছে।

আমি আমার স্ট্রিংগুলি অক্ষম করি, যতদূর পারি তবে আমি যেগুলি গোপন করতে পারি না তার সম্পর্কে ঘাম ঝরাই না (যেমন ওপেনএসএইচ)।

— দেনিযেল
সূত্র