Αφαίρεση X-Powered-By header για FastCGI/ΡΗΡ

Σε αυτή την περιοχή μπορείτε να βρείτε ή να αναζητήσετε πληροφορίες σχετικές με την PHP

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
Άβαταρ μέλους
soteres2002
S. & H. Moderator
Δημοσιεύσεις: 1524
Εγγραφή: 05 Μαρ 2004 22:17
Τοποθεσία: Ιωάννινα

Αφαίρεση X-Powered-By header για FastCGI/ΡΗΡ

Δημοσίευση από soteres2002 » 05 Σεπ 2008 16:21

Σε περίπτωση που έχετε επιλέξει σύνθεση ενός webserver πχ apache ή lighttpd και ΡΗΡ με fastcgi θα έχετε παρατηρήσει ότι σε κάθε request σε PHP σελίδα, στέλνεται ο X-powered-by header ο οποίος συνήθως στέλνει πληροφορίες για το λογισμικό που χρησιμοποιεί ο server, κάτι που μπορεί να χρησιμοποιηθεί από intruders μια που μπορούν να δοκιμάζουν exploits πιο εύκολα.

Η επιλογή expose php δεν δουλεύει στην προκειμένη περίπτωση (με fastcgi από lighttpd που χρησιμοποιώ εγώ). Για αυτό θέλει αλλαγές στον κώδικα, δλδ να αγνοείται ο συγκεκριμένος header. Δεν υπάρχει patch πουθενά για την 5.2.3 version που να λύνει αυτό το αυτονόητο πρόβλημα. Για αυτό πείραξα εγώ τον κώδικα και έδωσα τη λύση. Απλά κάνετε replace τον κώδικα του sapi/cgi/cgi_main.c με τον κώδικα που ανέβασα στο http://www.cshell.gr/header_alter.c . μετά το recompile θα είναι οκ. Προσοχή όμως, μόνο για την 5.2.3, καθώς αυτός ο κώδικας μεταβάλλεται απο έκδοση σε έκδοση!!!

Επειδή το χρειάζομαι κι εγώ αυτό για τους servers μου για μαζικό deployment μπορεί να κάνω deb + rpm patch packages + src, και να το ανακοινώσω σαν patch σε κάποια μεγάλη mailing list. Το μόνο μειονέκτημα είναι οτι πρέπει να είστε admin για να γίνει αυτή η αλλαγή. Δυστυχώς δεν υπάρχει άλλη επιλογή για να δοθεί λύση σε αυτο το πρόβλημα πχ με κάποιο config στο php.ini.

Μπορεί να χρειαστεί σε εταιρίες hosting με παρόμοιο setup που δεν θέλουν να δίνουν περιττές πληροφορίες προς τα έξω, καθώς επίσης και τι έκδοση σέρβερ χρησιμοποιούν. Αν χρησιμοποιεί κάποιος άλλη ΡΗΡ έκδοση και θέλει patch άς μου πει, δεν υπάρχει σημαντική διαφορά. Δυστυχώς, εμφανίζονται κατά καιρούς διάφορα σοβαρά exploits για ΡΗΡ (καθώς και κάποιους webservers) και διάφορα bot μπορούν να χτυπήσουν αξιοποιώντας τους headers.

Άβαταρ μέλους
CyberCr33p
Honorary Member
Δημοσιεύσεις: 3194
Εγγραφή: 06 Νοέμ 1999 01:00
Τοποθεσία: Αθήνα
Επικοινωνία:

Αφαίρεση X-Powered-By header για FastCGI/ΡΗΡ

Δημοσίευση από CyberCr33p » 05 Σεπ 2008 17:14

Το "X-Powered-By" σε εμένα δείχνει την έκδοση της PHP μόνο, δηλαδή 5.2.6. Αυτό που δείχνει ποιον web-server χρησιμοποιείς είναι το "Server" το οποίο μπορείς να το αλλάξεις μέσα από το configuration αρχείο του Lighttpd.

Κώδικας: Επιλογή όλων

X-Powered-By: PHP/5.2.6
Server: lighttpd

Άβαταρ μέλους
soteres2002
S. & H. Moderator
Δημοσιεύσεις: 1524
Εγγραφή: 05 Μαρ 2004 22:17
Τοποθεσία: Ιωάννινα

Αφαίρεση X-Powered-By header για FastCGI/ΡΗΡ

Δημοσίευση από soteres2002 » 05 Σεπ 2008 17:35

Ναι το ξέρω, απλά το ανέφερα γιατί παρόμοια πληροφορία δίνουν άπλετη και οι περισσότεροι webservers (στο server header) και επίσης δεν υπάρχει δυνατότητα να την αλλάξεις μέσω configuration. Καi στην περίπτωση του lighttpd, υπήρξε σοβαρό exploit πριν μήνες για remote code execution, οπότε λέγοντας εσύ την version σου διευκολύνεις την περίπτωση να πάθεις χτυπηθείς από κάποιο bot ή human. Είναι απλό αλλά σημαντικό security measure, τουλάχιστον για bot που βασίζονται σε αυτό και συλλέγουν versions.

Για το σχόλιό σου: μερικές φορές ενδέχεται να συμπεριλαμβάνει και το OS αυτό το header, όπως στην δική μου περίπτωση πριν το αφαιρέσω, και αυτό δεν είναι τόσο καλό για πολλούς λόγους.

Άβαταρ μέλους
soteres2002
S. & H. Moderator
Δημοσιεύσεις: 1524
Εγγραφή: 05 Μαρ 2004 22:17
Τοποθεσία: Ιωάννινα

Αφαίρεση X-Powered-By header για FastCGI/ΡΗΡ

Δημοσίευση από soteres2002 » 05 Σεπ 2008 19:51

Ορίστε και το patch για όποιον το χρειαστεί:X-Powered-By header remove - PHP 5.2.3 .

(τί γίνεται και δεν μπορώ να ανεβάσω αρχεία από το upload στο φόρουμ;; :hammer: )

Απάντηση

Επιστροφή στο “PHP Προγραμματισμός”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες