it-swarm-vi.com

Làm cách nào tôi có thể che khuất những gì tôi đang sử dụng để chạy trang web của mình?

Tôi có thể làm gì để ngăn ai đó biết trang web của mình đang sử dụng Drupal bằng cách xem mã nguồn của trang nhất không? Tôi đang đề cập đến những người quét trang web bằng phần mềm phát hiện phần mềm được sử dụng để chạy trang web để có thể tấn công nó bằng bất kỳ điểm yếu nào đã biết.

Nếu không thể che giấu hoàn toàn sự thật rằng trang web đang sử dụng Drupal, thì ít nhất có thể nhầm lẫn chúng (ví dụ: bằng cách đặt bí danh cho các trang nút có URL như http://example.com/servlets/<node-id>.jsp)?

72
kiamlaluno

Đây là một câu hỏi cũ và đã được trả lời, nhưng gần đây tôi đã nỗ lực viết ra một mô tả về tất cả những điều bạn sẽ cần thay đổi:

  • Xóa trình tạo meta cho Drupal 7
  • Xóa văn bản kể chuyện như CHANGELOG.txt
  • Kiểm tra tiêu đề hết hạn
  • Thư mục đi bộ cho mã trạng thái HTTP 200/404/403
  • Tìm tin nhắn văn bản mặc định - Tinh chỉnh tất cả các tin nhắn hướng tới người dùng
  • Nhìn vào HTML - html mặc định từ lõi và các mô-đun là một dấu hiệu nhận biết

Về cơ bản: về mặt kỹ thuật có thể che giấu sự thật rằng trang web của bạn chạy Drupal, nhưng bạn sẽ dành quá nhiều thời gian cho nó đến mức không đáng. Thay vào đó, bạn nên tập trung vào việc làm cho nó an toàn và hoạt động an toàn (ví dụ: khả năng triển khai các bản cập nhật nhanh chóng, nhật ký giám sát, v.v.).

52
greggles

Bạn không thể che giấu nó hoàn toàn. Hầu hết những gì cần thiết để làm điều đó, sẽ yêu cầu hack lõi. Nói lớn nhất, là biến Drupal JavaScript có thể đọc được từ trang trước hoặc bất kỳ trang nào cho vấn đề đó.

Nếu bạn muốn cải thiện bảo mật trang web của mình bằng cách ẩn rằng đó là Drupal, nỗ lực của bạn dành cho việc đánh giá mã tốt hơn là cố gắng che giấu sự thật rằng trang web được tạo bằng Drupal.

99
googletorp

Thật quá dễ để làm, kiam!

  • Sử dụng proxy ngược hoặc tùy chỉnh daemon http của bạn để lọc tiêu đề gây phiền nhiễu Drupal http
  • Từ chối truy cập http vào bất kỳ Drupal thư mục mặc định
  • Sử dụng PHP bộ đệm đầu ra để viết lại và che khuất nguồn HTML của bạn, xóa dữ liệu không cần thiết
  • Sử dụng bí danh url hoặc custom_url_rewrite_in/outbound để làm cho URL của bạn trở nên lộn xộn
  • Thay đổi lỗi 404 mặc định, xóa/thay đổi update.php
  • Thực hiện bất kỳ thay đổi khác nếu ai đó phát hiện ra

Và cuối cùng nhưng không kém phần quan trọng, hãy đảm bảo rằng trang web của bạn đơn giản đến mức không yêu cầu JS hoặc CSS cho các hành vi thông thường (không sử dụng Chế độ xem hoặc Ctools ...), không hỗ trợ xác thực người dùng, v.v. điều đó có nghĩa là trang web của bạn nên đơn giản như một trang web html tĩnh.

Ok, tất cả những điều đó để khiến mọi người tin rằng trang web của bạn không chạy Drupal. Dù sao, an ninh bằng cách tối nghĩa là vô ích.

42
jcisio

Có một bài viết và thảo luận chính thức về giống nha .

Bạn không thể. Không thử

  • Các cuộc tấn công tự động (cho đến nay là các cuộc tấn công phổ biến nhất) thậm chí không kiểm tra máy chủ trước khi thử khai thác .
    [.__.] Kiểm tra nhật ký của bất kỳ trang web cao cấp nào sẽ hiển thị hàng ngàn yêu cầu không có kết quả cho /AspBB/db/betaboard.mdb_private/cmd.asp/scripts/../../winnt/system32/cmd.exe/wp-login//administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi ... và bất kỳ số lần thử khai thác lịch sử nào trên bất kỳ hệ thống không liên quan nào.
    [.__.] Tấn công khai thác xảy ra ngay cả khi khai thác không tồn tại trên HĐH hoặc CMS của bạn. Bất cứ điều gì bạn làm để xác định sai trang web của bạn sẽ dù sao cũng bị bỏ qua bởi tin tặc nghiệp dư.
  • Bất cứ điều gì bạn nghĩ rằng bạn có thể che giấu, có những manh mối khác cho bất kỳ hệ thống.
    [.___.] Chỉ cần xóa một số chuỗi có chứa 'drupal' sẽ không ngụy trang trang web của bạn với bất kỳ kẻ rình mò hợp lý nào. Có hàng tá cách có thể được sử dụng để đoán những gì đang phục vụ các trang của bạn, thậm chí các dịch vụ chuyên dụng để nói rằng trang web đó có chạy Drupal không. Chỉ những từ khóa mà bạn nhận ra và nghĩ là mối đe dọa là một tập hợp con nhỏ của các chỉ số thực.
    [.___.] Yêu cầu index.php /? Q = user. Sau đó cố gắng vô hiệu hóa phản hồi đó mà không làm tê liệt trang web của bạn.
  • Bảo mật bằng cách tối nghĩa là không có bảo mật. Nó mang lại ấn tượng sai lầm về 'an toàn' khi bạn chỉ che giấu các lỗ hổng đằng sau màn hình khói mà bất kỳ kẻ tấn công nào gây ra bất kỳ mối đe dọa thực sự nào cũng có thể nhìn thấy.
  • Mặc dù không hoàn toàn không thể hack mã đến điểm mà hầu hết dấu vết của Drupal được ẩn khỏi nguồn HTML , (Đó là mã nguồn mở sau tất cả) các bước cần thiết để làm như vậy nhất thiết sẽ phá vỡ cốt lõi đến mức nhánh mã bị hack của bạn sẽ không tương thích với các cập nhật bảo mật thực  rằng bạn không thể vá và thực sự sẽ mở cho bất kỳ mối đe dọa thực sự nào trong tương lai được xác định bởi nhóm bảo mật. Đây là một tuyến đường thực sự đến lỗ hổng hệ thống.
  • Hầu hết các mô-đun quan trọng hoặc hữu ích đều có mã 'chữ ký' của riêng chúng, rất khó để che giấu nếu không viết lại đáng kể. Nếu bạn đang sử dụng 'lượt xem', 'cck', 'quảng cáo', 'fantecache', 'jquery', css-gộp, chủ đề đóng góp hoặc bất cứ điều gì hữu ích trên trang web của bạn - ai đó có thể nói . Ẩn rằng hoàn toàn thường sẽ yêu cầu chuyển đổi tổng số các chức năng chủ đề - ít nhất là. Ngay cả khi đó, obsfucation có thể sẽ không hoạt động .
  • Để xóa nhận dạng của nhiều tính năng nâng cao, như cài đặt Google Analytics dễ dàng có thể sử dụng Drupal Thư viện để hoạt động, bạn nhất thiết phải từ bỏ các tính năng đó hoàn toàn hoặc viết lại chúng theo cách điều đó không tận dụng cơ sở hạ tầng Drupal. Đôi khi điều này là có thể, nhưng trong mọi trường hợp, nó là phản tác dụng.

Bạn có thể thích đọc Bảo mật trang web của bạn quá.

Ghi nhớ Không bao giờ hack lõi

34
niksmac

Một điều nữa bạn có thể làm là sử dụng mô-đun File Aliases để thay đổi cấu trúc tệp mặc định.

Mô-đun Bí danh tệp cho phép bạn sử dụng các bí danh có thể tùy chỉnh mã thông báo cho các tệp đã tải lên của bạn, cho bạn khả năng giữ cho hệ thống tệp của bạn được tổ chức như bình thường trong khi cung cấp các đường dẫn tìm kiếm rõ ràng (nghĩa là không còn/trang web/mặc định /các tập tin/).

1
john

Không có điểm nào để che giấu rằng trang web của bạn chạy Drupal. Đó là cách sai lầm để xem xét phát triển trang web. Những gì bạn nên tập trung vào là bảo mật. Hãy chắc chắn rằng bạn thực hiện tất cả các biện pháp chứng khoán và mọi thứ sẽ ổn. Không có một lý do nào trên thế giới để che giấu rằng bạn đang sử dụng một số cms hoặc phần mềm khác. Với các addon FF như Wappalyzer, bạn có thể biết ngay nếu một trang web sử dụng Drupal, vì vậy câu hỏi khá hay.

1
picxelplay

Tôi đồng ý với những người khác rằng bạn không thể che giấu nó hoàn toàn. Nếu bạn nhìn vào nguồn HTML, bạn sẽ nhận thấy rằng nhiều lần các tệp CSS và JavaScript chưa được tổng hợp. Tổng hợp CSS và JavaScript nên được kích hoạt.

1
user140

Trước đây, tôi đã hoán đổi các phông chữ của mình cho các phông chữ dự án Ruby như Lucida Sans, cũng tăng kích thước đầu vào như tất cả những đứa trẻ hông làm.

Một sự cho đi khác là đồ họa "throbber" cho các trường tự động hoàn thành. Nó cũng không hoạt động khi bạn tăng kích thước đầu vào. Đây là một thứ bạn có thể đánh cắp: http: //beta.seatussybedandb ERIC.com/misc/throbber.gif

0
doublejosh