Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年12月7日

ModSecurity を使用して Apache のサーバー名を偽装する

Apache が稼働している Web サイトにリクエストを送信すると、通常、レスポンスヘッダーのサーバー名に Apache と表示されます。これは、攻撃者に手がかりを与えているとも言えます。

HTTP/1.1 200 OK
Date: Sat, 07 Dec 2013 03:49:51 GMT
Server: Apache
X-Pingback: http://192.168.11.9/xmlrpc.php
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 4041
Connection: close
Content-Type: text/html; charset=UTF-8

これを、ModSecurity の SecServerSignature を使えば、IIS にサーバー名を偽装できます。但し、この設定を有効にするには、Apache の ServerTokens を Full にする必要があるので、以下のファイルを編集します。

そして、ServerTokens を Full にして保存します。

以下のファイルを編集します。

以下の SecServerSignature の行を追加します。

Web サーバーを再起動します。

この状態で Web サイトにアクセスすると、サーバー名が IIS に偽装できているのが分かります。

HTTP/1.1 200 OK
Date: Sat, 07 Dec 2013 04:40:57 GMT
Server: Microsoft-IIS
X-Pingback: http://192.168.11.9/xmlrpc.php
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 4041
Connection: close
Content-Type: text/html; charset=UTF-8

こうすることで攻撃者を惑わすことはできますが、セキュリティ対策の基本は、サーバー名とバージョンが攻撃者にばれたとしても安全な状態に保つことです。基本を守っているのなら、こういった方法を併用するのもよいでしょう。


スポンサーリンク




カテゴリー:Linux,ツール

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA