通常HTTPヘッダを確認する時は、telnetを使ったりするが、コマンドって何かとめんどくさかったりする。
ブラウザがFirefoxだったら、LiveHTTPHeadersというアドオンを使うと簡単に、リクエストヘッダとか、レスポンスヘッダ等のHTTPヘッダ情報を確認できる。
実際に確認すると。。。
下のようにApacheのバージョン、phpのバージョンまで出力されている。
これはセキュリティ的によくない。
Server: Apache/2.2.6 (Win32) PHP/5.2.5
X-Powered-By: PHP/5.2.5
Apacheのバージョン情報を隠すために、httpd.confのServerTokensとServerSignatureの設定を変更すればよい。
設定がない場合は以下の2行を記述。
ServerSignatureは、エラーメッセージ出力時にフッタを表示するかしないか。
ServerTokensはApacheのバージョンをどこまで細かく出力するか。
※例えばApache2までとかApache/2.2までとか指定できる。ここではApacheって製品名だけを表示する設定。
完全に非表示にする設定もあっていいと思うんだけど。。。
ServerSignature Off ServerTokens ProductOnly
そして、ApacheをRestartさせて、HTTPヘッダを確認すると、
Server: Apache
X-Powered-By: PHP/5.2.5
ServerのApacheのバージョン情報とphpの情報がなくなった。
でも、X-Powered-Byをみると、まだPHPのバージョン情報が残ってるので、httpd.confのmod_headersを有効にして(下の記述の#コメントを除去)、ヘッダ情報の書換を可能にする。
#LoadModule headers_module modules/mod_headers.so
そして、次の一行を追記。
Header unset X-Powered-By
これで、X-Powered-Byが非表示になる。
Apacheのバージョンとphpのバージョンを伏せるのってサーバー管理の基本だと思うけど。。。
実行してないサーバーもまだまだ多いね。。。
Pingback: Satake Studio Developer's Blog » Detectify でサイトの脆弱性をチェックしてもらったら Warningがたくさん
Hello there, You’ve done an excellent job. I will certainly digg it
and personally recommend to my friends. I’m confident they’ll be benefited from this site.
This is actually a outstanding blog post. Thanks for posting it!