【Apache】HTTPヘッダの確認方法とセキュリティ対策(レスポンスヘッダの変更方法)

通常HTTPヘッダを確認する時は、telnetを使ったりするが、コマンドって何かとめんどくさかったりする。
ブラウザがFirefoxだったら、LiveHTTPHeadersというアドオンを使うと簡単に、リクエストヘッダとか、レスポンスヘッダ等のHTTPヘッダ情報を確認できる。

実際に確認すると。。。
下のようにApacheのバージョン、phpのバージョンまで出力されている。
これはセキュリティ的によくない。

Server: Apache/2.2.6 (Win32) PHP/5.2.5
X-Powered-By: PHP/5.2.5

Apacheのバージョン情報を隠すために、httpd.confのServerTokensとServerSignatureの設定を変更すればよい。
設定がない場合は以下の2行を記述。
ServerSignatureは、エラーメッセージ出力時にフッタを表示するかしないか。
ServerTokensはApacheのバージョンをどこまで細かく出力するか。
※例えばApache2までとかApache/2.2までとか指定できる。ここではApacheって製品名だけを表示する設定。
完全に非表示にする設定もあっていいと思うんだけど。。。

ServerSignature Off
ServerTokens ProductOnly

そして、ApacheをRestartさせて、HTTPヘッダを確認すると、

Server: Apache
X-Powered-By: PHP/5.2.5

ServerのApacheのバージョン情報とphpの情報がなくなった。

でも、X-Powered-Byをみると、まだPHPのバージョン情報が残ってるので、httpd.confのmod_headersを有効にして(下の記述の#コメントを除去)、ヘッダ情報の書換を可能にする。

#LoadModule headers_module modules/mod_headers.so

そして、次の一行を追記。

Header unset X-Powered-By

これで、X-Powered-Byが非表示になる。

Apacheのバージョンとphpのバージョンを伏せるのってサーバー管理の基本だと思うけど。。。
実行してないサーバーもまだまだ多いね。。。

スポンサード リンク
このエントリーをはてなブックマークに追加

3 thoughts on “【Apache】HTTPヘッダの確認方法とセキュリティ対策(レスポンスヘッダの変更方法)

  1. Pingback: Satake Studio Developer's Blog » Detectify でサイトの脆弱性をチェックしてもらったら Warningがたくさん

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください