Страница 1 из 1
Информация об Apache в заголовке
Добавлено: 2008-03-23 22:41:42
Overseer
софт: Apache 2.2.8, PHP5 (FastCGI)
В апаче и пхп есть опции для скрытия информации о версии софта, например, в апаче есть опции ServerSignature и ServerTokens, но они все равно оставляют информацию, ServerTokens Prod - и в хидере видно, что сервер Апач.
Установлен так же модуль mod_headers, но почему-то не удается удалить заголовок Server =(
Код: Выделить всё
Header unset Server
Header set Server "Opteron"
Все равно в заголовке Server Apache
работает.
Как удалить или переопределить заголовок Server?
ЗЫ
Код: Выделить всё
<?php
header('Server: myserv');
header('Server2: myserv');
echo "dd";
?>
Выдаются заголовки:
Server: Apache
Server2: myserv
Код: Выделить всё
Header unset Server
Header set Server "dummy"
Header edit Server ^(.*)$ eee
Header add Wake-UP "the matrix has you.."
Header edit Wake-UP ^(.*)$ eee
Результат:
Server: Apache
Wake-UP: eee
Re: Информация об Apache в заголовке
Добавлено: 2008-03-24 9:06:13
Alex Keda
а зачем?
тебе тепло или холодно от того что кто-то знает версию апача?
Re: Информация об Apache в заголовке
Добавлено: 2008-03-24 9:21:54
helloworld
В книжках "как стать хакером за 24 часа" советуют закрывать версию апача, а то если узнают последнее, то все, сервер ломанут.
Re: Информация об Apache в заголовке
Добавлено: 2008-03-24 9:32:58
Alex Keda
бред
Re: Информация об Apache в заголовке
Добавлено: 2008-03-24 12:26:15
NoResponse
поверь мне... как бывшему депутату государственной думы от кадетского корпуса (С) 12 стульев
если уж захотят поиметь то спрятанная инфа о версии не спасет
Re: Информация об Apache в заголовке
Добавлено: 2008-03-24 13:04:58
Overseer
Да мне ни холодно ни жарко, просто интересно
По замыслу ведь можно, а на практике получается не работает..
Книжек про хакеров не читал, там разве есть что-то интересное?
Re: Информация об Apache в заголовке
Добавлено: 2008-03-24 21:23:46
zg
Overseer писал(а):Книжек про хакеров не читал, там разве есть что-то интересное?
есть, и даже очень, так вот сидишь, думаешь, что веб сервер знает только команду GET? а он, гад такой, ещё и команду PUT может знать.. хотя упорно твердили, что HTTP не умеет записывать файлы на сервер... хакерские книги вообще полезно читать, их пишут в основном не для того, чтобы ломать, а что бы знать откуда и как могут залесть.
Re: Информация об Apache в заголовке
Добавлено: 2008-03-24 21:32:20
dikens3
zg писал(а):Overseer писал(а):Книжек про хакеров не читал, там разве есть что-то интересное?
есть, и даже очень, так вот сидишь, думаешь, что веб сервер знает только команду GET? а он, гад такой, ещё и команду PUT может знать.. хотя упорно твердили, что HTTP не умеет записывать файлы на сервер... хакерские книги вообще полезно читать, их пишут в основном не для того, чтобы ломать, а что бы знать откуда и как могут залесть.
Если пошла такая тема, тогда:
1. Разрешить GET/HEAD всем.
2. Разрешить POST для необходимых скриптов.
3. Остальные команды запретить. (TRACE, PUT и т.п.)
P.S. Версию Apache можно убрать, только вот xspider(к примеру) определит первую цифру с вероятностью 99%. Т.е. хакер без напряга будет знать apache 1.x.x или apache 2.x.x.
Re: Информация об Apache в заголовке
Добавлено: 2008-03-24 22:06:29
Overseer
Ну у меня глобально запрещены TRACE|TRACK|PUT|DELETE.
Надо будет посканить спайдером
Ради интереса.