it-swarm-ko.tech

내 사이트를 운영하는 데 사용중인 내용을 어떻게 숨길 수 있습니까?

누군가가 내 사이트가 Drupal 프론트 페이지의 소스 코드를보고 있음)를 사용하고 있음을 알 수 없도록 할 수있는 방법이 있습니까? 알려진 약점을 사용하여 웹 사이트를 공격 할 수 있도록 웹 사이트를 실행하는 데 사용됩니다.

사이트에서 Drupal을 사용하고 있다는 사실을 완전히 숨길 수없는 경우, 노드 페이지를 http://example.com/servlets/<node-id>.jsp)?

72
kiamlaluno

이것은 오래되고 이미 대답 한 질문이지만 최근에 all 변경해야 할 사항에 대한 설명을 작성하는 데 몇 가지 노력을 기울였습니다.

  • Drupal 7에 대한 메타 생성기를 제거하십시오.
  • CHANGELOG.txt와 같은 대화 텍스트를 제거하십시오.
  • 만료 헤더 확인
  • HTTP 200/404/403 상태 코드를위한 워킹 디렉토리
  • 기본 문자 메시지 찾기-모든 사용자 대면 메시지 조정
  • HTML을보십시오-핵심 및 모듈의 기본 HTML은 이야기입니다.

기본적으로 : 기술적으로 사이트에서 Drupal을 실행한다는 사실을 숨기는 것이 가능할 수도 있지만 그 가치가없는만큼 많은 시간을 할애 할 것입니다. 대신 보안 및 보안 작업 (예 : 업데이트 배포, 로그 모니터링 등)에 중점을 두어야합니다.

52
greggles

완전히 숨길 수는 없습니다. 이를 위해서는 대부분 해킹 코어가 필요합니다. 가장 큰 정보는 프론트 페이지 또는 해당 사안에 대한 모든 페이지에서 읽을 수있는 Drupal JavaScript 변수입니다.

Drupal 사이트)임을 숨겨 사이트 보안을 향상 시키려면 사이트가 Drupal로 만들어진 사실을 숨기려고하는 것보다 코드 검토에 더 많은 노력을 기울이는 것이 좋습니다.

99
googletorp

너무 쉬워요, 키암!

  • 리버스 프록시를 사용하거나 http 데몬을 사용자 정의하여 성가신 Drupal http 헤더를 필터링하십시오.
  • Drupal 기본 폴더에 대한 http 액세스 거부
  • PHP 출력 버퍼링을 사용하여 HTML 소스를 다시 작성하고 가려서 불필요한 데이터를 제거하십시오.
  • URL 별칭 또는 custom_url_rewrite_in/outbound를 사용하여 URL을 혼란스럽게 만드십시오.
  • 기본 404 오류 변경, update.php 제거/변경
  • 누군가 알아 낸 경우 다른 변경을 수행하십시오.

마지막으로, 사이트가 너무 단순하여 일반적인 동작에 JS 또는 CSS가 필요하지 않고 (뷰 또는 Ctools 사용하지 않음) 사용자 인증 등을 지원하지 않는 사이트인지 확인하십시오. 정적 html 사이트만큼 간단합니다.

자, 사람들이 귀하의 사이트에서 Drupal을 실행하지 않는다고 믿게하는 모든 것. 어쨌든 모호한 보안은 쓸모가 없습니다.

42
jcisio

같은 에 관한 공식 기사와 토론이 있습니다.

당신은 할 수 없습니다. 시도하지 마

  • 자동화 된 공격 (가장 일반적인 공격) 공격을 시도하기 전에 서버를 검사조차하지 마십시오.
    유명한 사이트의 로그를 검사하면 /AspBB/db/betaboard.mdb_private/cmd.asp/scripts/../../winnt/system32/cmd.exe/wp-login//administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi ... 및 관련없는 시스템에서 기록적인 공격 시도.
    OS 또는 CMS에 익스플로잇이 존재하지 않더라도 익스플로잇에 대한 공격이 발생합니다 사이트를 잘못 식별하기 위해 무엇을 하든지 아마추어 해커는이를 무시합니다.
  • 숨길 수 있다고 생각하는 다른 단서가 있습니다. 모든 시스템에 적합합니다.
    'drupal'이 포함 된 모든 문자열 중 일부를 간단히 제거해도 사이트가 합리적인 스 누퍼로 위장하지는 않습니다. 페이지를 제공하는 대상을 추측하는 데 사용할 수있는 수십 가지 방법이 있으며 전용 서비스조차 Drupal을 실행하는 사이트입니까? you 인식하고 위협이라고 생각하는 키워드는 실제 지표의 작은 하위 집합입니다.
    index.php /? q = user를 요청하십시오. 그런 다음 사이트를 방해하지 않고 해당 응답을 비활성화하십시오.
  • 모호한 보안은 보안이 아닙니다. 실제 위협을 가한 모든 공격자가 볼 수있는 스모크 스크린 뒤에 취약점을 숨기고있을 때 '안전하다'는 잘못된 인상을줍니다.
  • most Drupal의 흔적이 HTML 소스에서 숨겨지는 지점까지 코드를 해킹하는 것은 완전히 불가능하지는 않지만) 그렇게하는 데 필요한 단계는 반드시 코어를 심하게 손상시킬 수 있습니다. 해킹 된 코드 분기는 real 보안 업데이트와 호환되지 않습니다. 패치 할 수 없으며 보안 팀이 식별 한 실제 미래의 위협에 진정으로 개방 될 것입니다. 이것은 시스템 취약점에 대한 진정한 경로입니다.
  • 가장 중요하거나 유용한 모듈에는 자체적 인 코드 '서명'이있어 다시 작성하지 않고도 숨길 수 없습니다. 'views', 'cck', 'ad', 'imagecache', 'jquery', css-aggregation, 기여 테마 또는 사이트에 유용한 항목을 사용하는 경우-누군가 알 수 있습니다. 이를 숨기려면 일반적으로 테마 기능을 적어도 완전히 변환해야합니다. 그럼에도 불구하고 난독 화 아마도 작동하지 않을 것입니다.
  • Drupal 라이브러리를 사용하여 작동 할 수있는 Google Analytics의 쉬운 설치와 같은 많은 고급 기능의 식별을 제거하려면 해당 기능을 모두 포기하거나 다른 방식으로 다시 작성해야합니다 Drupal 인프라를 활용하지 않습니다. 때때로 가능하지만 모든 경우에 비생산적입니다.

귀하의 사이트 보안 을 읽고 싶을 수도 있습니다.

기억하십시오 핵심 핵을 만들지 마십시오

34
niksmac

파일 별칭 모듈을 사용하여 기본 파일 구조를 변경하는 것도 있습니다.

File Aliases 모듈을 사용하면 업로드 한 파일에 대해 토큰 사용자 정의 가능한 별명을 사용할 수 있으므로 파일 경로가 깔끔한 경로를 제공하면서 평소대로 파일 시스템을 구성 할 수 있습니다 (예 :/sites/default는 더 이상 없음)/files /).

1
john

귀하의 사이트가 Drupal을 운영한다는 것을 숨길 필요는 없습니다. 웹 사이트 개발을 보는 것은 잘못된 방법입니다. 집중해야 할 것은 보안입니다. 모든 유가 증권 측정을 구현해야하며 모든 것이 정상입니다. 세계에서 특정 cms 또는 다른 소프트웨어를 사용하고 있다는 사실을 숨길 이유는 없습니다. Wappalyzer와 같은 FF 애드온을 사용하면 사이트에서 Drupal을 사용하고 있는지 즉시 알 수 있으므로 질문은 꽤 어리 석습니다.

1
picxelplay

나는 당신이 그것을 완전히 숨길 수 없다는 다른 사람들과 동의합니다. HTML 소스를 보면 CSS 및 JavaScript 파일이 여러 번 집계되지 않은 것을 알 수 있습니다. CSS 및 JavaScript 집계가 사용 가능해야합니다.

1
user140

과거에는 Lucida Sans와 같은 일반적인 Ruby 프로젝트 글꼴)로 글꼴을 바꾸었고 모든 힙합 아이들과 마찬가지로 입력 크기를 늘 렸습니다.

또 다른 공짜는 자동 완성 필드를위한 "강도"그래픽입니다. 입력 크기를 늘리면 작동하지 않습니다. 훔칠 수있는 것은 다음과 같습니다. http://beta.seattlebedandbreakfast.com/misc/throbber.gif

0
doublejosh