CUIDADO! APACHE HTTPD.CONF SERVERSIGNATURE OFF NO RESUELVE TODO

18.12.2017 06:44
En uno de nuestros últimos artículos sobre el tema decíamos que para un pirata informático podría ser útil conocer la versión de nuestro servidor Apache. Agregábamos que la versión del servidor, nuestra versión de PHP y otros datos quedan expuestos cada vez que se muestra un mensaje de error generado por el servidor. Para ocultarlos habíamos apelado al archivo htppd.conf. Al final del mismo habíamos agregado las siguientes dos líneas:
 
ServerSignature Off
ServerTokens Prod
 
Daremos un ejemplo muy burdo de cómo un hacker puede obtener parte de la información que intentamos ocultar a través de alguna vulnerabilidad en el código de nuestras aplicación.
 
Supongamos que en algún lugar de nuestro servidor existe el siguiente código:
 
<?php
$string = $_GET['nombre']; 
eval ( "echo ". $string .";" );
?>
 
Si se ingresa como dato un nombre de usuario el mismo será impreso en pantalla. Si en cambio en la barra de direcciones del navegador escribimos lo siguiente: 
 
https://127.0.0.1/inyeccion_de_codigo/vulnerable.php?nombre=phpinfo();
 
obtendremos una jugosa cantidad de datos. Es cierto, la versión de Apache no aparecerá, sin embargo sí veremos la de PHP y una gran cantidad de información sobre el servidor, el sistema operativo y otros. La defensa en capas no es un capricho, es una necesidad siempre que pueda ser implementada. Un servidor con estrictas medidas de seguridad seguirá siendo vulnerable con un código mal escrito. Un código bien escrito es una capa más en el sistema de seguridad.
 
Volver