it-swarm-id.com

Bagaimana saya bisa mengaburkan apa yang saya gunakan untuk menjalankan situs saya?

Apakah ada yang bisa saya lakukan untuk mencegah seseorang mengetahui situs saya menggunakan Drupal dengan melihat kode sumber halaman depan? Saya merujuk pada orang yang memindai situs menggunakan perangkat lunak yang mendeteksi perangkat lunak digunakan untuk menjalankan situs web untuk dapat menyerang menggunakan titik lemah yang diketahui.

Jika tidak mungkin untuk sepenuhnya menyembunyikan fakta bahwa situs menggunakan Drupal, apakah paling tidak mungkin untuk membingungkan mereka (mis., Dengan meniadakan halaman simpul dengan URL seperti http://example.com/servlets/<node-id>.jsp)?

72
kiamlaluno

Ini adalah pertanyaan lama dan sudah dijawab, tetapi saya baru-baru ini berusaha untuk menulis deskripsi semua hal-hal yang perlu Anda ubah:

  • Hapus meta generator untuk Drupal 7
  • Hapus teks kirim seperti CHANGELOG.txt
  • Periksa tajuk Kedaluwarsa
  • Direktori jalan untuk kode status HTTP 200/404/403
  • Cari pesan teks standar - Tweak semua pesan yang menghadap pengguna
  • Lihatlah HTML - html default dari inti dan modul adalah pertanda

Pada dasarnya: secara teknis dimungkinkan untuk menyembunyikan fakta bahwa situs Anda menjalankan Drupal, tetapi Anda akan menghabiskan begitu banyak waktu untuk itu sehingga tidak sepadan. Sebagai gantinya Anda harus fokus untuk membuatnya aman dan pada operasi yang aman (mis. Kemampuan untuk menyebarkan pembaruan dengan cepat, memantau log, dll.).

52
greggles

Anda tidak bisa menyembunyikannya sepenuhnya. Sebagian besar dari apa yang diperlukan untuk melakukannya, akan membutuhkan inti peretasan. Yang paling tahu, adalah variabel JavaScript Drupal yang dapat dibaca dari halaman depan, atau halaman apa pun dalam hal ini.

Jika Anda ingin meningkatkan keamanan situs Anda dengan menyembunyikan bahwa itu adalah situs Drupal, usaha Anda lebih baik dihabiskan untuk ulasan kode daripada berusaha menyembunyikan fakta bahwa situs tersebut dibuat dengan Drupal.

99
googletorp

Ini terlalu mudah dilakukan, kiam!

  • Gunakan reverse proxy atau sesuaikan daemon http Anda untuk memfilter header Drupal http) yang menjengkelkan
  • Tolak akses http ke folder default Drupal
  • Gunakan PHP buffering output untuk menulis ulang dan mengaburkan sumber HTML Anda, menghapus data yang tidak perlu
  • Gunakan url alias atau custom_url_rewrite_in/outbound untuk membuat URL Anda berantakan
  • Ubah kesalahan 404 default, hapus/ubah update.php
  • Buat perubahan lain jika ada yang tahu

Dan yang tak kalah pentingnya, pastikan bahwa situs Anda sangat sederhana sehingga tidak memerlukan JS atau CSS untuk perilaku normal (jangan gunakan Tampilan atau Ctools ...), tidak mendukung otentikasi pengguna, dll. Itu berarti situs Anda harus sesederhana situs html statis.

Oke, semua itu membuat orang percaya bahwa situs Anda tidak menjalankan Drupal. Bagaimanapun, keamanan dengan ketidakjelasan tidak berguna.

42
jcisio

Ada artikel dan diskusi resmi tentang sama .

Kamu tidak bisa Jangan mencoba

  • Serangan otomatis (sejauh ini serangan yang paling umum) bahkan tidak memeriksa server sebelum mencoba eksploitasi mereka .
    Memeriksa log dari setiap situs profil tinggi akan menunjukkan ribuan permintaan tanpa hasil untuk /AspBB/db/betaboard.mdb_private/cmd.asp/scripts/../../winnt/system32/cmd.exe/wp-login//administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi ... dan sejumlah upaya eksploitasi historis pada sistem yang tidak terkait.
    Serangan pada eksploit terjadi bahkan jika eksploit tersebut tidak ada pada OS atau CMS Anda. Apa pun yang Anda lakukan untuk salah mengidentifikasi situs Anda akan tetap diabaikan oleh peretas amatir.
  • Apa pun yang Anda pikir bisa Anda sembunyikan, ada petunjuk lain untuk sistem apa pun.
    Cukup menghapus sebagian dari semua string yang mengandung 'drupal' tidak menyamarkan situs Anda ke pengintai yang masuk akal. Ada lusinan cara yang dapat digunakan untuk menebak apa yang melayani halaman Anda, bahkan layanan khusus untuk memberi tahu Apakah situs itu menjalankan Drupal. Hanya kata kunci yang yang Anda kenali dan anggap sebagai ancaman adalah sebagian kecil dari indikator nyata.
    Meminta index.php /? Q = pengguna. Kemudian coba nonaktifkan respons itu tanpa melumpuhkan situs Anda.
  • Keamanan dengan ketidakjelasan bukanlah keamanan. Ini memberikan kesan yang salah tentang 'aman' ketika Anda hanya menyembunyikan kerentanan di balik tabir asap yang dapat diserang oleh setiap penyerang yang memiliki ancaman nyata.
  • Meskipun tidak sepenuhnya mustahil untuk meretas kode ke titik di mana sebagian besar jejak Drupal disembunyikan dari sumber HTML , (Ini open source setelah semua) langkah-langkah yang diperlukan untuk melakukannya tentu akan merusak inti begitu buruk cabang kode yang diretas tidak akan kompatibel dengan pembaruan keamanan nyata  bahwa Anda tidak dapat menambal dan akan benar-benar terbuka terhadap ancaman nyata di masa depan yang diidentifikasi oleh tim keamanan. Ini adalah rute yang benar untuk kerentanan sistem.
  • Sebagian besar modul yang signifikan atau bermanfaat memiliki kode 'tanda tangan' sendiri yang sulit disembunyikan tanpa penulisan ulang yang signifikan. Jika Anda menggunakan 'views', 'cck', 'ad', 'imagecache', 'jquery', css-aggregation, kontribusi tema atau apapun yang berguna di situs Anda - seseorang dapat memberi tahu . Menyembunyikan itu seluruhnya biasanya membutuhkan konversi total dari fungsi tema - setidaknya. Meskipun begitu, obsfucation mungkin tidak akan berfungsi .
  • Untuk menghapus identifikasi banyak fitur canggih, seperti bahkan pemasangan mudah Google Analytics yang dapat menggunakan Drupal Perpustakaan berfungsi, Anda harus mengabaikan fitur-fitur itu sama sekali, atau menulis ulang dengan cara yang tidak mengambil keuntungan dari infrastruktur Drupal. Terkadang ini mungkin, tetapi dalam semua kasus itu kontraproduktif.

Anda mungkin tertarik membaca Mengamankan situs Anda juga.

Ingat Jangan pernah hack inti

34
niksmac

Hal tambahan yang dapat Anda lakukan adalah menggunakan modul File Alias ​​untuk mengubah struktur file default.

Modul Alias ​​File memungkinkan Anda untuk menggunakan token alias yang dapat disesuaikan untuk file yang Anda unggah, memberi Anda kemampuan untuk menjaga sistem file Anda tetap teratur seperti biasa sambil memberikan jalur yang tampak bersih (yaitu, tidak ada lagi/sites/default/file /).

1
john

Tidak ada gunanya menyembunyikan bahwa situs Anda menjalankan Drupal. Ini adalah cara yang salah untuk melihat pengembangan situs web. Yang harus Anda fokuskan adalah keamanan. Pastikan Anda menerapkan semua tindakan sekuritas dan semuanya akan baik-baik saja. Tidak ada satu alasan di dunia untuk menyembunyikan bahwa Anda menggunakan cm tertentu atau perangkat lunak lain. Dengan addons FF seperti Wappalyzer, Anda dapat langsung tahu jika sebuah situs menggunakan Drupal, jadi pertanyaannya cukup bisa diperdebatkan.

1
picxelplay

Saya setuju dengan orang lain bahwa Anda tidak dapat menyembunyikannya sepenuhnya. Jika Anda melihat sumber HTML, Anda akan melihat bahwa berkali-kali file CSS dan JavaScript belum digabungkan. CSS dan agregasi JavaScript harus diaktifkan.

1
user140

Di masa lalu saya telah bertukar font saya untuk tipikal Ruby font proyek seperti Lucida Sans, juga meningkatkan ukuran input seperti semua anak-anak hip lakukan.

Hadiah lain adalah grafik "throbber" untuk bidang autocomplete. Ini juga tidak berfungsi ketika Anda menambah ukuran input. Inilah yang dapat Anda curi: http://beta.seattlebedandbreakfast.com/misc/throbber.gif

0
doublejosh