僕が調べたApacheバージョン判定の小ネタ - とある診断員の備忘録
皆さんこちらのブログをご覧になられましたでしょうか? Apache HTTP Serverのバージョンを当てる方法 | MBSD Blog Apache HTTP Serverのバージョンが秘匿されていたとしても、脆弱性の修正や、仕様変更による応答差分を確認することによって、バージョンを特定することができるよというMBSDさんの記事です。 この記事には私も知らなかったテクニックも載っていて非常に勉強になりました! 実際の脆弱性診断の現場でもこのようなテクニックは結構使われていまして、Apache HTTP Serverであればかなり古いですが他にも以下の二つの脆弱性なども脆弱性が修正されているかどうかによる応答差分で、バージョンの判定が可能だったかなーと記憶しています。 CVE-2006-3918 JVNDB-2006-000441 - JVN iPedia - 脆弱性対策情報データベース
Apache HTTP Serverのバージョンを当てる方法 | MBSD Blog
2017.09.04 プロフェッショナルサービス事業部 米山 俊嗣 セキュリティ診断(Webアプリケーション診断やネットワーク診断)の結果、バナーに表示されたバージョンを隠しましょう、TRACEメソッドを無効にしましょうなどの報告をすることがあります。これらの設定は、サーバを構築する上での”お作法”ではあると考えていますが、この”お作法”を行ったから大丈夫というわけではありません。 今回はこのような設定を行っても、バージョンは特定できるものなので、やはり、パッチはしっかりと当てましょうというお話になります。 さて、Apache httpd 2.2.XはEOLが2017年12月と発表されており、2.2.34が最終バージョンになる可能性が高く、このタイミングで、リプレースやバージョンアップを考えている方もいらっしゃると思います。既に運用中のシステムで何か変えることは色々と難しいと思いますが、リ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
