Archive

For the day 日曜日, 12月 19th, 2010

バージョンの隠蔽

No Comments

ちょっと気になって、このGeekWindのHTTPヘッダを見てみたら、ちゃっかりPHPのバージョンとlighttpdのバージョンがヘッダに埋まっていた。

そのバージョンで脆弱性が見つかって、攻撃などされるとセキュリティ的にも嫌なので、HTTPヘッダに埋まっているバージョンを隠蔽することにした。

対策そのものはやたらと簡単。

PHPのバージョンはphp.ini内でexpose_php = Offに設定すればよい。

lighttpdのバージョンは、lighttpd.conf 内の server.tag を設定する。

今回は server.tag = “GeekWind Server” のように設定。

これで以下のようなヘッダになった。

HTTP/1.1 200 OK
Expires: Wed, 11 Jan 1984 05:00:00 GMT
Last-Modified: Sun, 19 Dec 2010 02:44:51 GMT
Cache-Control: no-cache, must-revalidate, max-age=0
Pragma: no-cache
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Date: Sun, 19 Dec 2010 02:44:51 GMT
Server: GeekWind Server



Blue Taste Theme created by Jabox