четверг, 21 октября 2010 г.

Скрытие версии OHS


Так как OHS базируется на Апаче, нельзя ли с ним проделать нечто подобное?

Первый взгляд на конфигурацию httpd.conf OHS показывает, что параметра ServerTokens у нас не видно. Присутствует лишь ServerSignature, которая ничего, в общем, не скрывает. В частности, такой плагин, как ServerSpy (Firefox) и NMAP показывают номер версии, сообщаемой нашим веб-сервером каждому желающему.

Проведем небольшой эксперимент.

Включим данный параметр в конфигурацию httpd.conf выше ServerSignature, и посмотрим, сработает ли:


ServerTokens ProductOnly

#
# Optionally add a line containing the server version and virtual host
# name to server-generated pages (error documents, FTP directory listings,
# mod_status and mod_info output etc., but not CGI generated documents).
# Set to "EMail" to also include a mailto: link to the ServerAdmin.
# Set to one of:  On | Off | EMail
#
#ServerSignature On
ServerSignature Off

Перезапускаем наш сервер OHS (opmnctl stopall; opmnctl startall).

Проверям версии сервисов посредством NMAP (nmap -sV -O -A -v blade):

80/tcp   open  http?
443/tcp  open  ssl/https?
2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port80-TCP:V=5.21%I=7%D=10/21%Time=4CC021E5%P=i686-pc-windows-windows%r
SF:(GetRequest,1C0,"HTTP/1\.1\x20301\x20Moved\x20Permanently\r\nDate:\x20T
SF:hu,\x2021\x20Oct\x202010\x2011:16:33\x20GMT\r\nServer:\x20Oracle-Applic
SF:ation-Server-10g\r\nLocation:\x20http://blade/pls/f\?p=250:HOME\r\nConn
SF:ection:\x20close\r\nContent-Type:\x20text/html;\x20charset=iso-8859-1\r
SF:\n\r\n
..... 

==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port443-TCP:V=5.21%T=SSL%I=7%D=10/21%Time=4CC021EC%P=i686-pc-windows-windows%r(GetRequest,1C0,"HTTP/1\.1\x20301\x20Moved\x20Permanently\r\nDate:\x
SF:20Thu,\x2021\x20Oct\x202010\x2011:16:39\x20GMT\r\nServer:\x20Oracle-App
SF:lication-Server-10g\r\nLocation:\x20http://blade/pls/f\?p=250:HOME\r\nC
SF:onnection:\x20close\r\nContent-Type:\x20text/html;\x20charset=iso-8859-
SF:1\r\n\r\n
.....



Порядок. Параметр сработал и в отношении OHS. То же самое теперь показывает ServerSpy:


Oracle-Application-Server-10g


Разумеется, от серьезной атаки это нас не защитит, но может затруднить поиск известных эксплоитов и хоть немного, но усложнит жизнь атакующему.