Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + automatización eficaz

Restringir Banners

Nuestros ethical hackers explican cómo evitar vulnerabilidades de seguridad mediante la configuración segura en Apache al restringir los banners. Un atacante puede utilizar los banners para ejecutar un banner grabbing con el cual puede conocer la infraestructura detrás de una aplicación web.

Necesidad

Restringir la visualización de nombre y versión de Servidor HTTP Apache

Contexto

A continuación se describen las circunstancias bajo las cuales la siguiente solución tiene sentido:

  1. Se utiliza Apache2 como servidor web.

  2. Se desea ocultar la información de versión de la plataforma Apache.[1]

Solución

El banner grabbing es una de las formas de conocer qué infraestructura o sistema se encuentra detrás de una aplicación web o servicio. El método de banner grabbing[2] puede aplicarse sobre cualquier tipo de servicio, cómo por ejemplo, FTP, VNC, HTTP, entre otros. En el caso de HTTP es posible conocer el servidor que se aloja detrás del sitio web, y en algunos casos es posible conocer la versión del mismo.

Para más información de esta técnica puede leer el siguiente artículo Exponiendo La Información De Tus Servicios

Dar a conocer la información del servidor web representa un riesgo para la seguridad puesto que permite a un atacante obtener información específica para, posteriormente, aprovechar las posibles vulnerabilidades asociadas a dicha información, y realizar así, un ataque que comprometa confidencialidad, integridad y disponibilidad del servidor.

  1. Entonces, para evitar exponer la información en un servidor Apache se recomienda seguir los siguientes pasos.[3]

  2. En el archivo de configuración httpd.conf asegúrese de contener las siguientes directivas:

    httpd.conf
    1
    2
    ServerSignature Off +
    ServerTokens Prod
    
  3. En caso de no encontrar el archivo httpd.conf editar el archivo security en /etc/apache2/conf.d/

  4. Después de realizar la modificación en el archivo de configuración se debe reiniciar el servicio:

    1
    % apache2 restart
    
  5. La directiva ServerSignature le indica al Apache que muestre la versión en los errores de requisitos HTTP.

  6. La directiva ServerTokens hace que en los encabezados solo se vea: Server: Apache.

  7. Si lo que se desea es que no aparezca el Nombre del Apache o cambiar completamente este valor, lo que necesitará hacer es lo siguiente:

  8. Descargar el código fuente de Apache.

  9. Editar el archivo httpd.h, cambiando el valor de la cadena Apache en la línea:

    1
    define SERVER_BASEPRODUCT "Apache"
    
  10. Por un valor diferente como:

    1
    define SERVER_BASEPRODUCT "Server"
    
  11. Bajar el servicio Apache, recompilar, reinstalar e iniciar el servicio Apache.




Haz un comentario

Estado de los servicios - Términos de Uso