Как я могу скрыть то, что я использую для запуска моего сайта?

drupal.stackexchange https://drupal.stackexchange.com/questions/237

  •  16-10-2019
  •  | 
  •  

Вопрос

Есть ли что -нибудь, что я могу сделать, чтобы кто -то знал, что мой сайт использует Drupal, глядя на исходный код первой страницы? Я имею в виду людей, которые сканируют сайты, используя программное обеспечение, которое обнаруживает программное обеспечение, используемое для запуска веб -сайта, чтобы иметь возможность атаковать его, используя любую известную слабую точку.

Если невозможно полностью скрыть тот факт, что сайт использует Drupal, это, по крайней мере, возможно их запутать (например, путем псевдонимы страниц узлов с помощью URL http://example.com/servlets/<node-id>.jsp)?

Это было полезно?

Решение

Это старый и уже отвеченный вопрос, но недавно я приложил некоторые усилия, чтобы написать описание все То, что вам нужно изменить:

  • Снимите мета генератор для Drupal 7
  • Удалить конверт-текст, как Changelog.txt
  • Проверьте заголовок истечения срока службы
  • Каталоги ходьбы для кодов статуса http 200/404/403
  • Ищите текстовые сообщения по умолчанию - настройте все сообщения, связанные с пользователем
  • Посмотрите на HTML - по умолчанию HTML из Core и Modules - это знак.

В основном: технически может быть возможно скрыть тот факт, что ваш сайт запускает Drupal, но вы бы потратили бы на него так много времени, что это того не стоит. Вместо этого вы должны сосредоточиться на том, чтобы сделать его безопасным и на безопасных операциях (например, возможность быстрого развертывания обновлений, мониторинга журналов и т. Д.).

Другие советы

Вы не можете скрыть это полностью. Большая часть того, что нужно для этого, потребует взлома. Самое главное, что это Drupal Переменная JavaScript, которая читается с первой страницы или любой страницы в этом отношении.

Если вы хотите улучшить безопасность своих сайтов, скрывая, что это сайт Drupal, ваши усилия лучше потрачены на обзоры кода, чем на попытку скрыть тот факт, что сайт сделан с Drupal.

Это слишком легко сделать, Киам!

  • Используйте обратный прокси или настройте свой HTTP Daemon для фильтрации раздражающего заголовка Drupal HTTP
  • Откажитесь от HTTP доступа к любым папкам по умолчанию Drupal
  • Используйте буферизацию выходной сигналы PHP, чтобы переписать и скрыть свой HTML -источник, удалить ненужные данные
  • Используйте псевдоним URL или Custom_url_rewrite_in/Источник, чтобы сделать ваши URL -адреса беспорядком
  • Изменить ошибку по умолчанию 404, удалить/изменить update.php
  • Внесите какие -либо другие изменения, если кто -то узнает

И последнее, но не менее важное, убедитесь, что ваш сайт настолько прост, что не требует JS или CSS для нормального поведения (не используйте представления или CTOOLS ...), не поддерживает аутентификацию пользователей и т. Д. Это означает, что ваш сайт должен Будьте так же просты, как статический сайт HTML.

Хорошо, все это, чтобы люди поверили, что ваш сайт не управляет Drupal. Во всяком случае, безопасность по мрачности бесполезна.

Есть официальная статья и обсуждение относительно одинаковый.

Вы не можете. Не пытаться

  • Автоматизированные атаки (безусловно, самые распространенные атаки) Даже не осматривайте сервер, прежде чем попробовать их эксплойты.
    Проверка журналов любого громкого сайта будет показывать тысячи бесплодных запросов на /AspBB/db/betaboard.mdb _private/cmd.asp /scripts/../../winnt/system32/cmd.exe /wp-login/ /administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi ... и любое количество попыток исторических подвигов по любой не связанной системе.
    Атаки на эксплойты происходят, даже если эксплойтов не существует на вашей ОС или CMS. Что бы вы ни делали, чтобы неправильно идентифицировать ваш сайт, все равно будет проигнорировано любительскими хакерами.
  • Что бы вы ни думали, вы можете спрятаться, есть другие подсказки для любой системы.
    Просто удаление некоторых из всех строк, которые содержат «Drupal», не замаскирует ваш сайт ни одному разумному Snooper. Существуют десятки способов, которые можно использовать, чтобы угадать, что обслуживает ваши страницы, даже выделенные услуги, чтобы сказать, что сайт работает Drupal. Просто ключевые слова, которые ты Признайте и думайте, что угроза - это незначительное подмножество реальных показателей.
    Попросите index.php/? Q = Пользователь. Затем попробуйте отключить этот ответ, не наносящий ущерб вашему сайту.
  • Безопасность по мраке - это не безопасность. Это дает ложное впечатление от того, чтобы быть «безопасным» только, когда вы скрываете уязвимости за дымовой завесой, которую любой злоумышленник, который представляет какую -либо реальную угрозу, сможет увидеть.
  • Хотя невозможно взломать код до такой степени, где самыйСледы Drupal скрыты от источника HTML, (в конце концов, это открытый исходный код), шаги, необходимые для этого Ваша взломанная ветвь кода будет несовместима с настоящий Обновления безопасности что вы не могли бы исправить и действительно быть открыты для любых реальных будущих угроз, определенных командой безопасности. Это истинный путь к уязвимости системы.
  • Наиболее значимые или полезные модули имеют свою собственную «подпись» кода, которую трудно скрыть без существенных перезаписи. Если вы используете «представления», «cck», «ad», «ImageCache», «jQuery», CSS -агрегация, внесли темы или что -нибудь полезное на вашем сайте - Кто -то может сказать. Анкет Скрытие этого полностью требует полного преобразования функций темы - по крайней мере. Даже тогда, обследование наверное не сработает.
  • Чтобы убрать идентификацию многих расширенных функций, например, даже простая установка Google Analytics, которые могут использовать библиотеки Drupal для работы, вы обязательно должны либо отказаться от этих функций, либо переписать их таким образом, чтобы не воспользоваться инфраструктурой Drupal Анкет Иногда это возможно, но во всех случаях это контрпродуктивно.

Вы можете быть заинтересованы в чтении Закрепление вашего сайта слишком.

Запомнить Никогда не взломай ядро

Нет смысла скрывать, что ваш сайт запускает Drupal. Это неправильный способ взглянуть на разработку веб -сайтов. На чем вы должны сосредоточиться на безопасности. Убедитесь, что вы реализуете все меры по ценным бумагам, и все будет хорошо. В мире нет ни одной причины, чтобы скрыть, что вы используете определенную CMS или другую часть программного обеспечения. С помощью Addons FF, такими как Wappalyzer, вы можете сказать в одно мгновение, если сайт использует Drupal, поэтому вопрос довольно спорный.

Дополнительная вещь, которую вы можете сделать, - это использовать также модуль псевдонима файлов для изменения структуры файла по умолчанию.

А Файл псевдонимов Module позволяет вам использовать настраиваемые псевдонимы токенов для загруженных файлов, предоставляя вам возможность сохранить вашу файловую систему организованной, как обычно, предоставляя при этом пути чистых видов (то есть больше/сайты/default/files/).

Я согласен с другими людьми, что вы не можете скрыть это полностью. Если вы посмотрите на источник HTML, вы заметите, что много раз файлы CSS и JavaScript не были агрегированы. Агрегация CSS и JavaScript должна быть включена.

В этом прошлом я поменял свои шрифты на типичные шрифты проекта Ruby, такие как Lucida Sans, также увеличивая размеры ввода, как и все бедные дети.

Еще один раздача - это график «пульсации» для полей автозаполнения. Это также не работает, когда вы увеличиваете размер входа. Вот тот, который вы можете украсть: http://beta.seattlebedandbreakfast.com/misc/throbber.gif

Лицензировано под: CC-BY-SA с атрибуция
Не связан с drupal.stackexchange
scroll top