我如何掩盖我用来运行网站的东西?

drupal.stackexchange https://drupal.stackexchange.com/questions/237

  •  16-10-2019
  •  | 
  •  

我可以做些什么来阻止某人知道我的网站通过查看首页的源代码使用Drupal吗?我指的是使用软件扫描网站的人,这些软件检测到用于运行网站的软件以能够使用任何已知的弱点来攻击它。

如果无法完全隐藏该网站正在使用Drupal的事实,至少是否有可能混淆它们(例如,通过将节点页与URL相称,例如 http://example.com/servlets/<node-id>.jsp)?

有帮助吗?

解决方案

这是一个古老的问题,但我最近付出了一些努力,写了一个描述 全部 您需要更改的内容:

  • 卸下Drupal 7的元发电机
  • 删除像ChangElog.txt这样的tell Text
  • 检查到期的标题
  • http 200/404/403状态代码的步行目录
  • 寻找默认文本消息 - 调整所有面向用户的消息
  • 查看HTML-核心和模块的默认HTML是一个明显的符号

基本上:从技术上讲,您可能会隐藏您的网站运行Drupal的事实,但是您将花很多时间在上面,以至于不值得。相反,您应该专注于使其安全和安全操作(例如快速部署更新,监视日志等)。

其他提示

您不能完全隐藏它。大部分需要做的事情都需要黑客核心。最大的说明是 Drupal JavaScript变量可从首页或任何页面上可读。

如果您想通过隐藏它是一个Drupal网站来改善网站的安全性,那么您的精力在代码评论上要比试图隐藏该网站是用Drupal制成的事实来更好地花在代码评论上。

这太容易了,基亚姆!

  • 使用反向代理或自定义您的HTTP守护程序来过滤烦人的Drupal HTTP标头
  • 拒绝http访问任何Drupal默认文件夹
  • 使用PHP输出缓冲来重写和掩盖您的HTML源,删除不必要的数据
  • 使用URL别名或custom_url_rewrite_in/出站使您的URL变得混乱
  • 更改默认404错误,删除/更改update.php
  • 如果有人发现

最后但并非最不重要的一点是,请确保您的网站如此简单,以至于不需要正常行为的JS或CSS(不要使用视图或ctools ...),不支持用户身份验证等。这意味着您的网站应应像静态HTML站点一样简单。

好的,让人们相信您的网站不会运行Drupal。无论如何,默默无闻的安全是没有用的。

有一篇官方文章和讨论 相同.

你不能。不要试

  • 自动攻击(到目前为止最常见的攻击) 在尝试漏洞之前,甚至都不检查服务器.
    检查任何备受瞩目的网站的日志都将显示成千上万的徒劳要求 /AspBB/db/betaboard.mdb _private/cmd.asp /scripts/../../winnt/system32/cmd.exe /wp-login/ /administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi ...以及任何无关系统的历史利用尝试中的任何数量尝试。
    即使您的操作系统或CMS不存在漏洞利用,也会发生对利用的攻击。 无论您做什么误解您的网站,业余黑客都会忽略您的网站。
  • 无论您认为您可以隐藏什么,还有其他线索 对于任何系统。
    只需删除包含“ Drupal”的所有字符串,就不会将您的网站掩盖到任何合理的侦探中。有多种方法可以用来猜测您的页面有什么服务,甚至专门的服务也可以告诉该网站运行Drupal。只是关键字 认识并认为是威胁是真实指标的小子集。
    要求index.php/?q =用户。然后尝试禁用该响应而不会削弱您的网站。
  • 默默无闻的安全不是安全性。当您仅隐藏烟幕背后,任何构成任何真正威胁的攻击者都可以看到的烟幕后,它给人以“安全”的错误印象。
  • 虽然并非完全不可能将代码入侵到 最多Drupal的痕迹是从HTML源隐藏的(毕竟是开源的),这样做所需的步骤必定会如此严重地破坏核心 代码的黑客分支将与 真实的 安全更新 您无法修补,并且将真正对安全团队确定的任何未来威胁开放。这是系统漏洞的真正途径。
  • 最重要或有用的模块具有其自己的代码“签名”,而没有重大重写就很难隐藏。如果您使用的是“视图”,“ CCK”,“ AD”,“ ImageCache”,“ JQuery”,CSS -Aggregation,请在您的网站上贡献主题或任何有用的主题 - 有人可以告诉. 。至少至少需要完全需要对主题函数进行全部转换。即使那样,观察 可能行不通.
  • 要删除许多高级功能的识别,例如即使是可以使用Drupal库进行工作的Google Analytics(即使轻松安装),您必须完全放弃这些功能,或以不利用Drupal Infrasture的方式重写它们。有时这是可能的,但是在所有情况下,它都适得其反。

您可能有兴趣阅读 确保您的网站 也。

记住 永远不要黑客核心

隐藏您的网站毫无意义。这是查看开发网站的错误方法。您应该关注的是安全性。确保您实施所有证券措施,一切都会好起来的。世界上没有一个理由隐藏您正在使用某个CMS或其他软件。使用Wappalyzer之类的FF插件,您可以立即分辨出一个网站是否使用Drupal,因此问题很不错。

您可能要做的一件额外的事情是还使用文件别名模块来更改默认文件结构。

文件别名 模块允许您为上传的文件使用令牌可自定义的别名,从而使您能够按照通常的方式保持文件系统在提供清洁外观的路径(即无/site/sites/default/files//)的同时组织。

我同意其他人的观点,您不能完全隐藏它。如果您查看HTML源,您会注意到很多次CSS和JavaScript文件尚未汇总。应启用CSS和JavaScript聚合。

在过去,我将字体换成了Lucida Sans等典型的Ruby Project字体,也像所有嘻哈孩子一样增加了输入尺寸。

另一个放弃是自动完成字段的“ throbber”图形。当您增加输入尺寸时,它也无效。这是您可以偷的: http://beta.seattlebedandand breaksfast.com/misc/throbber.gif

许可以下: CC-BY-SA归因
scroll top