バージョンの隠蔽

By kennyNo Comments

ちょっと気になって、このGeekWindのHTTPヘッダを見てみたら、ちゃっかりPHPのバージョンとlighttpdのバージョンがヘッダに埋まっていた。

そのバージョンで脆弱性が見つかって、攻撃などされるとセキュリティ的にも嫌なので、HTTPヘッダに埋まっているバージョンを隠蔽することにした。

対策そのものはやたらと簡単。

PHPのバージョンはphp.ini内でexpose_php = Offに設定すればよい。

lighttpdのバージョンは、lighttpd.conf 内の server.tag を設定する。

今回は server.tag = “GeekWind Server” のように設定。

これで以下のようなヘッダになった。

HTTP/1.1 200 OK
Expires: Wed, 11 Jan 1984 05:00:00 GMT
Last-Modified: Sun, 19 Dec 2010 02:44:51 GMT
Cache-Control: no-cache, must-revalidate, max-age=0
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Date: Sun, 19 Dec 2010 02:44:51 GMT
Server: GeekWind Server

lighttpd, 環境設定


この記事へのトラックバック

Leave your Comment

メールアドレスが公開されることはありません。

*

★ロリポップ!★WordPressやMovableTypeの簡単インストール、cron、共有SSL対応!


Blue Taste Theme created by Jabox