X-Powered-By oplossing om versie-informatie te Verwijderen
Binnenland: Tech headers X-Powered-By: X-Powered-By middleware verwijdert de header X-Powered-By om het voor aanvallers iets moeilijker te maken om te zien welke potentieel kwetsbare technologie uw site van stroom voorziet. De aanval: Hackers kunnen bekende kwetsbaarheden in Express en Node misbruiken als ze weten dat u het gebruikt. (en andere web technologieën zoals PHP) stellen bij elke aanvraag een X-Powered-By header in, waarmee wordt aangegeven welke technologie de server van stroom voorziet.
X-Powered-By oplossing
Een hacker kan deze informatie in hun voordeel gebruiken. Als ze een beveiligingsprobleem kennen in Express of Node en zij zien dat uw site door Express wordt aangedreven, kunnen ze doelgerichter zijn.
Als een vastberaden hacker deze Header niet ziet, geven ze niet opeens op. Ze kunnen naar andere aanwijzingen zoeken om erachter te komen dat je Node gebruikt, of ze kunnen gewoon een aantal aanvallen proberen en zien of een van hen werkt. Het simpel weglaten van deze Header betekent niet dat niemand kwetsbaarheden kan misbruiken; het kan ze enigszins vertragen of een luie hacker afschrikken.
Er is ook een klein prestatievoordeel bij het verwijderen van deze Header omdat er minder bytes hoeven te worden verzonden.
Introductie X-Powered-by
Webservers geven standaard standaard volledige versie-informatie in een HTTP-header. Apache zal bijvoorbeeld zoiets laten zien:
| Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2 |
|---|
Apache standaard geeft ook server handtekening informatie op bepaalde foutpagina's. De standaard 404-pagina toont bijvoorbeeld dat u Apache uitvoert en mogelijk het e-mailadres van de webmaster dat u hebt geconfigureerd. Nogmaals, dit is onnodige informatie voor de webserver om naar mijn mening te laten zien.
Andere back-endservers (bijvoorbeeld Jboss, NodeJs, PHP) hebben ook standaard de HTTP Header 'X-Powered-by' ingesteld, wat eveneens een onnodig risico is om de software weer te geven die u gebruikt. Het heeft geen enkel voordeel voor uw websitebezoekers, dus schakel ze uit.
Hoe het op te zetten
De volgende instellingen in Apache verminderen de serverheaders:
Beperk HTTP-header van server tot het minimale product (Apache) in plaats van gedetailleerde versie-informatie van de server en het besturingssysteem toevoegen aan de .htaccess bestand
| ServerTokens Prod |
|---|
Verwijder het voetgedeelte van foutpagina's, met details over de versienummers: toevoegen aan de .htaccess bestand
| ServerSignature Off |
|---|
Verberg X-Powered-By en Server-headers, verzonden door downstream-applicatieservers:
Let op dat je beide hieronder nodig hebt omdat de "always" toevoegen aan de .htaccess bestand
|
Header always unset "X-Powered-By" |
|---|