it-swarm-eu.dev

Jak mohu zakrýt, co používám ke spuštění svého webu?

Mohu zabránit tomu, aby někdo věděl, že můj web používá Drupal při pohledu na zdrojový kód titulní stránky?) Mám na mysli lidi, kteří skenují stránky pomocí softwaru, který detekuje software. používá se ke spuštění webu, aby na něj mohl zaútočit pomocí známé slabiny.

Pokud není možné úplně skrýt skutečnost, že web používá Drupal, je možné je alespoň zaměnit (např. Aliasem stránek uzlu pomocí URL jako http://example.com/servlets/<node-id>.jsp)?

73
kiamlaluno

Toto je stará a již zodpovězená otázka, ale nedávno jsem se trochu snažil napsat popis všech věcí, které byste potřebovali změnit:

  • Odstraňte metagenerátor pro Drupal 7
  • Odeberte text sdělující zprávu, jako je CHANGELOG.txt
  • Zkontrolujte záhlaví Expires
  • Kráčející adresáře pro stavové kódy HTTP 200/404/403
  • Vyhledejte výchozí textové zprávy - Vylepšete všechny zprávy, které se budou dívat na uživatele
  • Podívejte se na HTML - výchozí html z jádra a modulů je výmluvným znakem

V zásadě: technicky by bylo možné skrýt skutečnost, že na vašem webu běží Drupal, ale strávili byste na něm tolik času, že to za to nestojí. Místo toho byste se měli zaměřit na zabezpečení a na bezpečné operace (např. Schopnost rychlého nasazení aktualizací, monitorování protokolů atd.).

53
greggles

Nemůžete to úplně skrýt. Většina toho, co je potřeba k tomu, by vyžadovala hackerské jádro. Největší sdělit je proměnná Drupal JavaScriptu, která je čitelná z přední stránky nebo z jakékoli jiné stránky.

Pokud chcete vylepšit zabezpečení svých stránek tím, že skryjete, že se jedná o web Drupal=), vaše úsilí je lépe vynaloženo na kontrolu kódu než na pokus o skrytí skutečnosti, že je web vytvořen pomocí Drupalu.

100
googletorp

Je to příliš snadné, kiame!

  • Použijte reverzní proxy nebo přizpůsobte http démona k filtrování nepříjemného Drupal http záhlaví)
  • Odepřít přístup http k libovolným výchozím složkám Drupal)
  • Pomocí PHP vyrovnávací paměti výstupu PHP) přepište a zakryte zdroj HTML, odstraňte nepotřebná data
  • Použijte alias URL nebo custom_url_rewrite_in/outbound, aby vaše adresy URL byly nepořádkem
  • Změňte výchozí chybu 404, odeberte/změňte update.php
  • Pokud někdo zjistí, proveďte další změny

A v neposlední řadě se ujistěte, že váš web je tak jednoduchý, že nevyžaduje běžná chování JS nebo CSS (nepoužívejte zobrazení nebo Ctools ...), nepodporuje ověřování uživatelů atd. To znamená, že váš web by měl být stejně jednoduchý jako statický web html.

Dobře, to vše proto, aby lidé věřili, že váš web nespouští Drupal. Bezpochyby je bezpečnost skrytá k ničemu.

42
jcisio

Existuje oficiální článek a diskuse týkající se stejné .

Nemůžeš. Nezkoušej

  • Automatizované útoky (zdaleka nejběžnější útoky) dokonce server neprovedou kontrolu před vyzkoušením jejich zneužití .
    Prohlídením protokolů všech vysoce profilujících webů se zobrazí tisíce neplodných žádostí o /AspBB/db/betaboard.mdb_private/cmd.asp/scripts/../../winnt/system32/cmd.exe/wp-login//administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi ... a jakýkoli počet pokusů o historické zneužití jakéhokoli nesouvisejícího systému.
    K útokům na zneužívání dochází, i když tyto exploity na vašem OS nebo CMS neexistují. Ať už uděláte cokoli, abyste špatně identifikovali váš web, amatérští hackeři stejně ignorovat.
  • Ať už si myslíte, že se můžete schovat, existují i ​​jiné stopy pro jakýkoli systém.
    Jednoduše odstraněním některých řetězců, které obsahují výraz „drupal“, se vaše stránky nezakrývají na žádného rozumného snoopera. Existuje několik způsobů, jak lze odhadnout, co slouží vašim stránkám, a to i specializované služby, které říkají, že na tomto webu běží Drupal. Pouze ta klíčová slova, která vy rozpoznáte a myslíte si, že jsou hrozbou, jsou malou podskupinou skutečných ukazatelů.
    Požádat o index.php /? Q = user. Potom zkuste tuto odpověď zakázat, aniž byste ochromili váš web.
  • Zabezpečení skrytím není bezpečnost. Falešně působí dojmem, že je „bezpečný“, pokud skrýváte pouze zranitelnost za kouřovou clonou, kterou by mohl vidět každý útočník, který představuje skutečnou hrozbu.
  • Přestože není zcela nemožné hacknout kód do bodu, kde nejvíce stopy (= === -) stopy Drupal jsou skryty před zdrojem HTML) , (Je to koneckonců Open source), kroky potřebné k tomu nutně nutně zlomí jádro tak špatně vaše napadená větev kódu by byla nekompatibilní s skutečnými aktualizacemi zabezpečení že jste nemohli napravit a byli by skutečně otevřeni jakýmkoli skutečným budoucím hrozbám identifikovaným bezpečnostním týmem. Toto je skutečná cesta ke zranitelnosti systému.
  • Nejvýznamnější nebo nejužitečnější moduly mají svůj vlastní kód „podpis“, který je obtížné skrýt bez významných přepisů. Pokud na svém webu používáte 'zobrazení', 'cck', 'ad', 'imagecache', 'jquery', css-agregace, přispívaná témata nebo něco užitečného - , někdo to může říct . Skrytí, které by zcela vyžadovalo úplnou konverzi tematických funkcí - alespoň. Dokonce i pak, obsfucation pravděpodobně nebude fungovat .
  • Chcete-li odebrat identifikaci mnoha pokročilých funkcí, například snadnou instalaci Google Analytics, která může používat Drupal Knihovny, aby fungovaly), je nutné tyto funkce zcela zrušit nebo je přepsat způsobem to nevyužívá infrastruktury Drupal). Někdy je to možné, ale ve všech případech je kontraproduktivní.

Možná vás bude zajímat čtení Zabezpečení vašeho web .

Nezapomeňte Nikdy hack jádro

34
niksmac

Další věcí, kterou můžete udělat, je použití modulu File Aliases pro změnu výchozí struktury souborů.

Modul Aliasy souborů vám umožňuje používat pro vaše nahrané soubory přizpůsobitelné aliasy tokenů, což vám umožňuje udržovat systém souborů organizovaný podle obvyklých postupů a poskytovat čistě vypadající cesty (tj. Žádné další/weby/výchozí/files /).

1
john

Nemá smysl skrývat, že na vašem webu běží Drupal. Je to nesprávný způsob, jak se dívat na vývoj webových stránek. Na co byste se měli zaměřovat, je bezpečnost. Nezapomeňte implementovat všechna opatření týkající se cenných papírů a vše bude v pořádku. Na světě není žádný důvod skrývat, že používáte určitý cms nebo jiný software. S addony FF, jako je Wappalyzer, můžete okamžitě zjistit, zda web používá Drupal, takže otázka je docela bláznivá.

1
picxelplay

Souhlasím s ostatními lidmi, že to nemůžete úplně skrýt. Pokud se podíváte na zdroj HTML, zjistíte, že mnohokrát nebyly soubory CSS a JavaScript agregovány. Měla by být povolena agregace CSS a JavaScript.

1
user140

V té době jsem si vyměnil písma za typická projektová písma Ruby projektová písma, jako je Lucida Sans), a také se zvyšovaly vstupní velikosti, jako to dělají všichni hip děti.

Dalším rozdáním je „pulzující“ grafika pro pole automatického doplňování. To také nefunguje, když zvětšíte vstupní velikost. Zde je jeden, který můžete ukrást: http://beta.seattlebedandbreakfast.com/misc/throbber.gif

0
doublejosh