Nascondere le informazioni sensibili dei siti web

Condividi:

In questo articolo mostreremo come nascondere alcune informazioni che vengono fornite a causa delle configurazioni base dei vari software normalmente utilizzati per un sito web. Queste informazioni possono essere enumerate da un possibile aggressore per attuare un attacco informatico.

Versione di bind

Se stiamo utilizzando bind come server autoritativo per i nostri domini, è possibile raccogliere le informazioni circa la versione del server ed il sistema operativo utilizzato con una semplice query come questa, dove serverdns è l’indirizzo del nostro server bind

Per nascondere questa informazione, editiamo il file di configurazione di bind contenente la sezione options inserendo la direttiva version

Fatto questo riavviamo bind

Eseguiamo il test

Versione di Apache

Nella configurazione base, apache inserisce informazioni sulla versione del server in calce a vari documenti e negli header http. Ci sono due direttive che permettono di includere queste informazioni:

  • ServerSignature: Permette di inserire nel footer di vari documenti la versione di apache
  • ServerTokens: Permette di inserire informazioni sul sistema operativo e sulla versione del server nel campo Server Response

Per rimuovere queste informazioni, basta editare il file di configurazione di apache inserendo queste due righe

Riavviamo apache

Versione di PHP

La configurazione base di PHP inserisce il campo X-Powered-By nell’ Header server HTTP response contenente informzioni sulla versione di PHP installata sul server.

Il file di configurazione attualmente caricato lo possiamo scoprite invocando php

Effettuiamo una copia di backup del file ini

Ora editiamo il file ini, cerchiamo la direttiva expose_php e cambiamo On in Off

Riavviamo apache

Le informazioni nell’header relative al nostri sito web

Versione di Nginx

Nginx inserisce le informazioni sulla versione ad esempio nei documenti relativi alle pagine di errore. Per rimuovere tali informazioni, editiamo il file di configurazione, cerchiamo la direttiva server_tokens che sarà commentata e decommendiamola

Riavviamo il proxy