Cuanto mas se sabe de los servidores que están en Internet mas vulnerables son. Una cosa es no saber nada y otra muy distinta es saber que software y versiones tiene instalado.
En referencia a lo hablado en el párrafo anterior hay muchas instalaciones de Apache que muestran mas informacion de lo conveniente. Hoy explicaré un par de trucos para mejorar esta situación.
Frecuentemente con solo navegar una pagina inexistente de un servidor nos da esta informacion. Y si nuestros intereses van mas allá de navegar en esta web y queremos saber sus vulnerabilidades, no hay nada mejor que pasarle el Acunetix WVS.
Como vemos estamos revelando el tipo de sistema operativo ademas del
tipo de servidor Web, su version y por si esto fuera poco la version de
php. Por otro lado algo que no es tan facil ver es que esta informacion
tambien viaja en los HTTP Response Header, la podemos ver aqui.
Para enseñarle discrecion a nuestro Apache alcanza con escribir (o
modificar en caso de que existan) estas dos lineas en el httpd.conf y reiniciar
el servidor usando /etc/init.d/httpd restart o/etc/init.d/apache2
restart (Este comando pude diferir de instalacion en instalacion aunque
estos 2 son loas mas comunes).
Los posibles valores de ServerTokens son los siguientes:
ServerTokens Prod #Server sends (e.g.): Server: Apache
ServerTokens Min #Server sends (e.g.): Server: Apache/1.3.0
ServerTokens OS #Server sends (e.g.): Server: Apache/1.3.0 (Unix)
ServerTokens Full #Server sends (e.g.): Server: Apache/1.3.0 (Unix) PHP/3.0 MyMod/1.2
ServerTokens Min #Server sends (e.g.): Server: Apache/1.3.0
ServerTokens OS #Server sends (e.g.): Server: Apache/1.3.0 (Unix)
ServerTokens Full #Server sends (e.g.): Server: Apache/1.3.0 (Unix) PHP/3.0 MyMod/1.2
Una vez hecho las imagenes anteriores se veran como estas
Listo! Mision Cumplida again!, si visitamos la pagina web http://www.kenkai.com/seo-tools-server-info.htm como su nombre lo dice nos da información de cualquier pagina web... y de su server. En mi caso, solo aparece, Apache!
Ahora si juankeenme!
H4ck 4 D4y!
0 comentarios:
Publicar un comentario