Как я могу скрыть то, что я использую для запуска моего сайта?

Есть ли что-нибудь, что я могу сделать, чтобы кто-то не знал, что мой сайт использует Drupal, глядя на исходный код главной страницы? Я имею в виду людей, которые сканируют сайты с помощью программного обеспечения, которое обнаруживает программное обеспечение, используемое для запуска веб-сайта, чтобы иметь возможность атаковать его с использованием любой известной слабой точки.

Если невозможно полностью скрыть тот факт, что на сайте используется Drupal, по крайней мере, возможно, это путает их (например, путем наложения узлов с URL-адресами, такими как http://example.com/servlets/<node-id>.jsp)

74 голоса | спросил kiamlaluno 3 MarpmThu, 03 Mar 2011 15:28:48 +03002011-03-03T15:28:48+03:0003 2011, 15:28:48

8 ответов


55

Это старый и уже ответивший вопрос, но я недавно приложил некоторые усилия для написания описания all вещей, которые вам нужно изменить:

  • Удалить метагенератор для Drupal 7
  • Удалить контрольный текст, например CHANGELOG.txt
  • Проверьте заголовок Expires
  • Прогулочные каталоги для кодов статуса HTTP 200/404/403
  • Поиск текстовых сообщений по умолчанию - настройка всех сообщений, обращенных к пользователю.
  • Посмотрите на HTML - по умолчанию html из ядра и модулей является контрольным знаком

http://drupalscout.com/knowledge -base /скрытие-факт-ваш-сайт-пробеги-Друпала или-дактилоскопическая-друпал-сайт

В принципе: технически возможно скрыть тот факт, что ваш сайт запускает Drupal, но вы потратили бы столько времени на это, чтобы этого не стоило. Вместо этого вы должны сосредоточиться на обеспечении безопасности и безопасных операциях (например, возможность быстрого развертывания обновлений, мониторинга журналов и т. Д.).

ответил greggles 25 Jam1000000amWed, 25 Jan 2012 06:20:50 +040012 2012, 06:20:50
101

Вы не можете скрыть это полностью. Большая часть того, что нужно для этого, потребует взлома ядра. Самая большая информация, это переменная JavaScript Drupal, которая читается на первой странице или на любой странице.

Если вы хотите улучшить безопасность своих сайтов, скрывая, что это сайт Drupal, ваши усилия лучше потратить на проверку кода, чем на попытку скрыть тот факт, что сайт создан с помощью Drupal.

ответил googletorp 3 MarpmThu, 03 Mar 2011 15:36:15 +03002011-03-03T15:36:15+03:0003 2011, 15:36:15
42

Слишком легко сделать, киам!

  • Используйте обратный прокси или настройте своего демона http, чтобы отфильтровать раздражающий HTTP-заголовок Drupal.
  • Отказать в доступе http к любым папкам по умолчанию Drupal.
  • Использовать буферизацию вывода PHP, чтобы переписать и затенять источник HTML, удалить ненужные данные.
  • Используйте псевдоним url или custom_url_rewrite_in /outbound, чтобы ваши URL-адреса были беспорядочными.
  • Измените ошибку 404 по умолчанию, удалите /измените update.php
  • Внесите любые другие изменения, если кто-то узнает

И последнее, но не менее важное: убедитесь, что ваш сайт настолько прост, что не требует JS или CSS для нормального поведения (не используйте Views или Ctools ...), не поддерживает аутентификацию пользователя и т. д., что означает ваш сайт должен быть таким же простым, как статический html-сайт.

Хорошо, все, что заставляет людей полагать, что ваш сайт не запускает Drupal. Во всяком случае, безопасность безвестности бесполезна.

ответил jcisio 17 MarpmThu, 17 Mar 2011 21:00:00 +03002011-03-17T21:00:00+03:0009 2011, 21:00:00
32

Существует официальная статья и обсуждение того же .

  

Вы не можете. Не пытайтесь

  • Автоматические атаки (безусловно   наиболее распространенные атаки) даже не проверяет сервер до   пробовать свои эксплойты .
    Проверка журналов любого   высокопоставленный сайт покажет тысячи бесплодных запросов для   /AspBB/db/betaboard.mdb _private/cmd.asp   /scripts/../../winnt/system32/cmd.exe   /wp-login/   /administrator/components/com_wmtgallery/admin.wmtgal,   /cgi-bin/ip.cgi ... и любое количество попыток   исторические подвиги в любой несвязанной системе.
    Атаки на   эксплойты случаются, даже если эксплойты не существуют в вашей ОС или   CMS. Что бы вы ни делали, чтобы неправильно идентифицировать ваш сайт,   все равно игнорируются любительскими хакерами.
  • Что бы вы ни делали   думаю, что вы можете скрыть, есть другие подсказки для любой системы.
      Простое удаление некоторых строк, содержащих «drupal», не   замаскируйте свой сайт любому разумному snooper. Есть десятки способов   который можно использовать для угадывания того, что обслуживает ваши страницы, даже посвященных   услуги, чтобы сказать Это сайт работает на Drupal. Просто ключевые слова, которые    вы распознаете и думаете, что это угроза, являются второстепенным подмножеством   реальные индикаторы.
    Попросите index.php /? q = пользователь. Затем попробуйте   отключите этот ответ без ущерба для вашего сайта.
  • Безопасность безвестности не является безопасностью. Это дает   ложное впечатление о том, чтобы быть «безопасным», когда вы только скрываете   уязвимости за дымовой завесой, которые любой злоумышленник, который   реальная угроза сможет увидеть.
  • Хотя это не   полностью невозможно взломать код до точки, где most   следы Drupal скрыты от источника HTML (это Open Source   в конце концов) шаги, необходимые для этого,   плохо, что ваша взломанная ветка кода будет несовместимой   с реальными обновлениями безопасности , которые вы не можете исправить   и будет искренне открыт для любых реальных будущих угроз, определенных   команда безопасности. Это истинный путь к уязвимости системы.
  •   
  • У большинства значимых или полезных модулей есть своя «подпись» кода,   который трудно скрыть без значительных переписываний. Если вы используете   'views', 'cck', 'ad', 'imagecache', 'jquery', css-aggregation,   предоставленные темы или что-нибудь полезное на вашем сайте - кто-то может   сказать . Скрытие этого полностью обычно требует   преобразование функций темы - по крайней мере. Даже тогда обложение   , вероятно, не будет работать .
  • Чтобы удалить идентификацию   многие из расширенных функций, например, даже простая установка Google Analytics, которая может использовать   Библиотеки Drupal для работы, вы обязательно должны либо отказаться от этих   функции вообще, или переписывать их таким образом, чтобы не принимать   преимущество инфраструктуры Drupal. Иногда это возможно,   но во всех случаях это контрпродуктивно.

Вам может быть интересно прочитать защиту вашего сайта .

Помните Никогда не взламывайте основной файл

ответил niksmac 5 J0000006Europe/Moscow 2012, 08:51:51
2

Дополнительная вещь, которую вы можете сделать, - это также использовать модуль псевдонимов файлов, чтобы изменить структуру файлов по умолчанию.

  

Модуль File Aliases позволяет вам использовать настраиваемые псевдонимы для ваших загружаемых файлов, предоставляя вам возможность чтобы ваша файловая система была организована по привычке, предоставляя чистые поисковые пути (т. е. больше /sites /default /files /).

ответил john 3 SatEurope/Moscow2011-12-03T10:02:38+04:00Europe/Moscow12bEurope/MoscowSat, 03 Dec 2011 10:02:38 +0400 2011, 10:02:38
1

Нет смысла скрывать, что ваш сайт запускает Drupal. Это неправильный способ поиска веб-сайтов. На что вы должны обратить внимание - это безопасность. Убедитесь, что вы реализуете все меры по обеспечению ценных бумаг, и все будет хорошо. В мире нет одной причины скрывать, что вы используете определенные cms или другие части программного обеспечения. С дополнениями FF, такими как Wappalyzer, вы можете сказать в одно мгновение, если сайт использует Drupal, поэтому вопрос довольно спорный.

ответил picxelplay 20 J000000Wednesday11 2011, 22:48:41
1

Я согласен с другими людьми, что вы не можете полностью скрыть это. Если вы посмотрите на источник HTML, вы заметите, что много раз файлы CSS и JavaScript не были агрегированы. Необходимо активировать агрегацию CSS и JavaScript.

ответил user140 17 MarpmThu, 17 Mar 2011 20:45:46 +03002011-03-17T20:45:46+03:0008 2011, 20:45:46
0

В прошлом я поменял свои шрифты на типичные шрифты Ruby Project, такие как Lucida Sans, также увеличивая размеры ввода, как и все дети хип-хопа.

Еще одна раздача - это диаграмма «throbber» для полей автозаполнения. Он также не работает, когда вы увеличиваете размер ввода. Вот вы можете украсть: http://beta.seattlebedandbreakfast.com/misc/throbber.gif

ответил doublejosh 30 AMpSat, 30 Apr 2011 00:18:06 +040018Saturday 2011, 00:18:06

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132