PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Apache Version Fälschen.



phantomd[TNS]
14.10.03, 19:41
Hallo Leute.
Ich hätte da folgende Frage an euch :
Man kann ja ganz einfach auf www.netcraft.com den Domain Namen eingeben und man bekommt schnell eine Antwort auf was für einem System der Webserver läuft und Welche Serversoftware im Einsatz ist. Wäre es nun möglich folgendes zu machen :

1. Die Ausgabe der Server-Software so zu verfälschen das zum Beispiel anstatt Apache 1.1.3.7 Jeantruc 1.1.1.4 erscheint ?

2. Gibt es auch die Möglichkeit das System auf gleiche Weise zu verfälschen ?

Ich hoffe ihr könnt mir viele Erfahrungswerte mitteilen

Greetz and Thnx für eure Posts ;)

fs111
14.10.03, 19:55
In der httpd.conf gibt es den Eintrag ServerSignature, darüber kann man den String verändern, ob das aber auch ohne patchen, so wie von Dir gewollt geht, weiß ich nicht.

fs111

Bauchi
14.10.03, 20:43
beim compilen kannst du das header file httpd.h im src/include/ folder der apache sourcen so umbauen das jeder server string möglich ist....
viel spass dabei :-)

Thomas Engelke
14.10.03, 20:44
Security through obscurity?

AD!

Bauchi
14.10.03, 20:46
Original geschrieben von Thomas Engelke
Security through obscurity?

AD!
zum teil ... die nervigen scriptkiddies abhalten hat noch nie jemandem geschadet ....

Thomas Engelke
14.10.03, 21:01
Naja, ich weiß nicht. Mir würde in meinem Log was fehlen :) Ist es denn wirklich notwendig? Da verläßt man sich auf eine Sicherheit, die in jedem Falle trügerisch ist. Irgendwann kommt doch ein Skripter auf die Idee, den Check in seinem 1337-Tool auszustellen und versucht's doch. Erst dann auf eventuelle Sicherheitslücken aufmerksam zu werden, halte ich für 'ne riskante Einsatzweise von Sicherheit.

AD!

DarkObserver
15.10.03, 12:59
Es gibt auch noch die "ServerTokens Prod" Directive in der httpd.conf, mit der kann man auch steuern, welche Info in Response-Headern steht. Die Versionsnummer wird dann nicht mehr geliefert.

"Security by obscurity" ist erstmal nicht schlecht, solange es nicht die einzige Sicherheitsmaßnahme ist, die man einsetzt. Es kann Firewalls, IDS etc. nur ergänzen.

Gruß
D. O.