it-swarm.it

Come posso oscurare ciò che sto usando per gestire il mio sito?

C'è qualcosa che posso fare per impedire a qualcuno di sapere che il mio sito sta usando Drupal guardando il codice sorgente della prima pagina? Mi riferisco a persone che scansionano siti usando software che rileva il software utilizzato per eseguire il sito Web per poterlo attaccare utilizzando qualsiasi punto debole noto.

Se non è possibile nascondere completamente il fatto che il sito utilizza Drupal, è almeno possibile confonderli (ad esempio, aliasando le pagine del nodo con URL come http://example.com/servlets/<node-id>.jsp)?

72
kiamlaluno

Questa è una vecchia domanda a cui è già stata data una risposta, ma recentemente mi sono sforzato di scrivere una descrizione di tutto le cose che dovresti cambiare:

  • Rimuovi il meta generatore per Drupal 7
  • Rimuovi il testo da raccontare come CHANGELOG.txt
  • Controlla l'intestazione Scadenza
  • Directory a piedi per i codici di stato HTTP 200/404/403
  • Cerca messaggi di testo predefiniti: modifica tutti i messaggi rivolti all'utente
  • Guarda l'HTML - html predefinito dal core e dai moduli è un segno rivelatore

Fondamentalmente: tecnicamente potrebbe essere possibile nascondere il fatto che il tuo sito esegue Drupal, ma ci passeresti così tanto tempo che non ne vale la pena. Dovresti invece concentrarti su come renderlo sicuro e su operazioni sicure (ad esempio la possibilità di distribuire rapidamente gli aggiornamenti, monitorare i registri, ecc.).

52
greggles

Non puoi nasconderlo completamente. La maggior parte di ciò che è necessario per farlo, richiederebbe core di hacking. Il più grande indizio è la variabile JavaScript Drupal che è leggibile dalla prima pagina o da qualsiasi altra pagina.

Se vuoi migliorare la sicurezza dei tuoi siti nascondendo che si tratta di un Drupal, i tuoi sforzi sono meglio spesi per le revisioni del codice piuttosto che per cercare di nascondere il fatto che il sito è realizzato con Drupal.

99
googletorp

È troppo facile da fare, Kiam!

  • Usa un proxy inverso o personalizza il tuo demone http per filtrare la fastidiosa intestazione Drupal http
  • Nega l'accesso http a qualsiasi Drupal cartelle predefinite
  • Usa PHP buffer di output per riscrivere e oscurare la tua fonte HTML, rimuovere i dati non necessari
  • Utilizza l'URL alias o custom_url_rewrite_in/outbound per rendere i tuoi URL un casino
  • Modifica l'errore 404 predefinito, rimuovi/modifica update.php
  • Apporta qualsiasi altra modifica se qualcuno lo scopre

E, ultimo ma non meno importante, assicurati che il tuo sito sia così semplice che non richiede JS o CSS per comportamenti normali (non utilizzare Views o Ctools ...), non supporta l'autenticazione dell'utente, ecc. Ciò significa che il tuo sito dovrebbe essere semplice come un sito html statico.

Ok, tutto ciò per far credere alle persone che il tuo sito non esegue Drupal. Ad ogni modo, la sicurezza per oscurità è inutile.

42
jcisio

C'è un articolo ufficiale e una discussione riguardante lo stesso .

Non puoi. Non provare

  • Gli attacchi automatici (di gran lunga gli attacchi più comuni) non ispezionano nemmeno il server prima di provare i loro exploit .
    L'ispezione dei registri di qualsiasi sito di alto profilo mostrerà migliaia di richieste infruttuose per /AspBB/db/betaboard.mdb_private/cmd.asp/scripts/../../winnt/system32/cmd.exe/wp-login//administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi ... e qualsiasi numero di tentativi di exploit storici su qualsiasi sistema non correlato.
    Gli attacchi agli exploit si verificano anche se gli exploit non esistono sul tuo sistema operativo o CMS. Qualunque cosa tu faccia per identificare erroneamente il tuo sito essere comunque ignorato dagli hacker dilettanti.
  • Qualunque cosa tu pensi di poter nascondere, ci sono altri indizi per qualsiasi sistema.
    La semplice rimozione di alcune stringhe che contengono "drupal" non nasconde il tuo sito a nessun snooper ragionevole. Ci sono dozzine di modi che possono essere usati per indovinare cosa sta servendo le tue pagine, anche servizi dedicati da dire È quel sito che esegue Drupal. Solo le parole chiave che tu riconosci e pensi siano una minaccia sono un sottoinsieme secondario degli indicatori reali.
    Richiedi index.php /? Q = utente. Quindi prova a disabilitare quella risposta senza paralizzare il tuo sito.
  • La sicurezza per oscurità non è sicurezza. Dà una falsa impressione di essere "sicuri" quando si nascondono le vulnerabilità dietro una cortina fumogena che qualsiasi aggressore che rappresentasse una vera minaccia sarebbe in grado di vedere.
  • Sebbene non sia del tutto impossibile hackerare il codice al punto in cui la maggior parte tracce di Drupal sono nascoste dall'origine HTML , (Dopo tutto è open source) i passaggi necessari per farlo potrebbero necessariamente spezzare il core così gravemente il tuo ramo hackerato del codice sarebbe incompatibile con gli aggiornamenti di sicurezza reali  che non è possibile applicare patch e che si sarebbe veramente aperti a qualsiasi vera minaccia futura identificata dal team di sicurezza. Questa è una vera strada verso la vulnerabilità del sistema.
  • I moduli più significativi o utili hanno una propria 'firma' di codice che è difficile da nascondere senza riscritture significative. Se stai utilizzando "viste", "cck", "annuncio", "imagecache", "jquery", aggregazione css, temi forniti o qualcosa di utile sul tuo sito - qualcuno può dire . Nasconderlo del tutto richiederebbe in genere una conversione totale delle funzioni del tema - almeno. Anche allora, l'oscuramento probabilmente non funzionerà .
  • Per rimuovere l'identificazione di molte delle funzionalità avanzate, come anche la semplice installazione di Google Analytics che può utilizzare Drupal Librerie per funzionare, devi necessariamente rinunciare a quelle funzionalità del tutto o riscriverle in un modo che non sfrutta l'infrastruttura Drupal. A volte questo è possibile, ma in tutti i casi è controproducente.

Potresti essere interessato a leggere Protezione del tuo sito troppo.

Ricorda Never hack core

34
niksmac

Un'ulteriore cosa che puoi fare è utilizzare anche il modulo Alias ​​file per modificare la struttura dei file predefinita.

Il modulo File Aliases ti consente di usare token alias personalizzabili per i tuoi file caricati, dandoti la possibilità di mantenere il tuo file system organizzato come di consueto fornendo percorsi chiari (ad es. Niente di più/siti/impostazione predefinita /File/).

1
john

Non ha senso nascondere che il tuo sito esegue Drupal. È il modo sbagliato di guardare lo sviluppo di siti Web. Ciò su cui dovresti concentrarti è la sicurezza. Assicurati di implementare tutte le misure sui titoli e tutto andrà bene. Non c'è un motivo al mondo per nascondere che stai usando un certo cms o un altro software. Con i componenti aggiuntivi di FF come Wappalyzer, puoi dire in un attimo se un sito utilizza Drupal, quindi la domanda è piuttosto controversa.

1
picxelplay

Sono d'accordo con altre persone sul fatto che non puoi nasconderlo del tutto. Se guardi l'origine HTML, noterai che molte volte i file CSS e JavaScript non sono stati aggregati. L'aggregazione CSS e JavaScript dovrebbe essere abilitata.

1
user140

In quel passato ho scambiato i miei caratteri con i caratteri tipici del progetto Ruby come Lucida Sans, aumentando anche le dimensioni di input come fanno tutti i ragazzi alla moda.

Un altro regalo è la grafica "palpitante" per i campi di completamento automatico. Inoltre non funziona quando si aumenta la dimensione di input. Eccone uno che puoi rubare: http://beta.seattlebedandbreakfast.com/misc/throbber.gif

0
doublejosh