Çoğu güvenlik tarama yazılımı Apache ve PHP versiyonunun gösterilmesini bir açıklık olarak görür.
Bir sitemizde Netsparker Community edition ile yaptığımız taramada bu iki bilginin açık edildiği raporlandı. Bize de düzeltmek düştü.
Apache'de sürüm bilgisini engellemek için ServerTokens değerini Prod yapınız.
ServerTokens Prod
Prod seçilirse sadece web sunucusunun türü(Apache) yazar. Başka bir bilgi olmaz.
ServerTokens parametresinin alacağı değerlerin tam listesini http://httpd.apache.org/docs/2.2/mod/core.html#servertokens adresinden bulabilirsiniz.
PHP'deki sürüm bilgisini kapatmak içinde /etc/php.ini dosyasındaki expose parametresi off yapılır.
; Decides whether PHP may expose the fact that it is installed on the server
; (e.g. by adding its signature to the Web server header). It is no security
; threat in any way, but it makes it possible to determine whether you use PHP
; on your server or not.
; http://www.php.net/manual/en/ini.core.php#ini.expose-php
expose_php = off
Değişikliklerin etkinleşmesi için Apache yeniden başlatılmalıdır.
# /etc/init.d/httpd restart
Not: Apache ve PHP sürümleriniz eski ve güvenlik açığı içeren bir sürüm ise mutlaka güncelleyiniz. Sadece sürüm bilgisini gizleyerek güvenlik olmaz.
Bir sitemizde Netsparker Community edition ile yaptığımız taramada bu iki bilginin açık edildiği raporlandı. Bize de düzeltmek düştü.
Apache'de sürüm bilgisini engellemek için ServerTokens değerini Prod yapınız.
ServerTokens Prod
Prod seçilirse sadece web sunucusunun türü(Apache) yazar. Başka bir bilgi olmaz.
ServerTokens parametresinin alacağı değerlerin tam listesini http://httpd.apache.org/docs/2.2/mod/core.html#servertokens adresinden bulabilirsiniz.
PHP'deki sürüm bilgisini kapatmak içinde /etc/php.ini dosyasındaki expose parametresi off yapılır.
; Decides whether PHP may expose the fact that it is installed on the server
; (e.g. by adding its signature to the Web server header). It is no security
; threat in any way, but it makes it possible to determine whether you use PHP
; on your server or not.
; http://www.php.net/manual/en/ini.core.php#ini.expose-php
expose_php = off
Değişikliklerin etkinleşmesi için Apache yeniden başlatılmalıdır.
# /etc/init.d/httpd restart
Not: Apache ve PHP sürümleriniz eski ve güvenlik açığı içeren bir sürüm ise mutlaka güncelleyiniz. Sadece sürüm bilgisini gizleyerek güvenlik olmaz.
Birçok vulnerability scaner yazilim bu bilgiyi elde ettiğinde size bu sürüm için exploit olup olmadigini belirtmekte bu nedenle bu gibi bilgileri gizlemek bazi durumlarda hayati önem tasiyor. Bilgi için teşekkürler hocam.
YanıtlaSil