ฉันจะปิดบังสิ่งที่ฉันใช้เพื่อเรียกใช้เว็บไซต์ของฉันได้อย่างไร

มีสิ่งใดที่ฉันสามารถทำได้เพื่อป้องกันไม่ให้ใครบางคนรู้ว่าไซต์ของฉันกำลังใช้ Drupal โดยดูที่ซอร์สโค้ดของหน้าแรกหรือไม่ ฉันหมายถึงผู้ที่สแกนไซต์โดยใช้ซอฟต์แวร์ที่ตรวจพบซอฟต์แวร์ที่ใช้ในการเรียกใช้เว็บไซต์เพื่อให้สามารถโจมตีไซต์นั้นได้โดยใช้จุดอ่อนที่ทราบ

ถ้ามันเป็นไปไม่ได้ที่จะสมบูรณ์ซ่อนความจริงที่ว่าเว็บไซต์ที่มีการใช้ Drupal, มันเป็นอย่างน้อยไปได้ที่จะสร้างความสับสนให้พวกเขา (เช่นโดย aliasing หน้าโหนดที่มี URL ที่ชอบhttp://example.com/servlets/<node-id>.jsp)?

นี่เป็นคำถามเก่าและตอบแล้ว แต่เมื่อเร็ว ๆ นี้ฉันได้พยายามเขียนคำอธิบายของทุกสิ่งที่คุณจะต้องเปลี่ยน:

• ลบตัวสร้างเมตาสำหรับ Drupal 7
• ลบ tell-tale-text เช่น CHANGELOG.txt
• ตรวจสอบส่วนหัวหมดอายุ
• ไดเร็กทอรีการเดินสำหรับรหัสสถานะ HTTP 200/404/403
• ค้นหาข้อความเริ่มต้น - ปรับแต่งข้อความทั้งหมดที่ผู้ใช้หันเข้าหา
• ดูที่ HTML - html เริ่มต้นจากแกนและโมดูลเป็นสัญญาณบอกเล่า

โดยทั่วไป: ในทางเทคนิคอาจเป็นไปได้ที่จะซ่อนความจริงที่ว่าเว็บไซต์ของคุณรัน Drupal แต่คุณจะใช้เวลากับมันมากจนไม่คุ้มค่า คุณควรมุ่งเน้นไปที่การทำให้มันปลอดภัยและการดำเนินการที่ปลอดภัย (เช่นความสามารถในการปรับใช้การอัปเดตอย่างรวดเร็ว, การตรวจสอบบันทึก ฯลฯ )

คุณไม่สามารถซ่อนมันได้อย่างสมบูรณ์ สิ่งที่ต้องทำส่วนใหญ่จะต้องมีการแฮ็คหลัก ตัวบอกที่ใหญ่ที่สุดคือDrupalตัวแปร JavaScript ที่อ่านได้จากหน้าแรกหรือหน้าใด ๆ สำหรับเรื่องนั้น

หากคุณต้องการปรับปรุงความปลอดภัยของเว็บไซต์โดยซ่อนไว้ว่าเป็นเว็บไซต์ Drupal ความพยายามของคุณจะถูกใช้ไปกับการตรวจสอบโค้ดมากกว่าที่จะพยายามซ่อนความจริงที่ว่าเว็บไซต์นั้นทำกับ Drupal

มันง่ายเกินไปที่จะทำ kiam!

• ใช้ reverse proxy หรือปรับแต่ง http daemon ของคุณเพื่อกรองส่วนหัวของ Drupal http ที่น่ารำคาญ
• ปฏิเสธการเข้าถึง http ไปยังโฟลเดอร์เริ่มต้นของ Drupal
• ใช้การบัฟเฟอร์เอาต์พุต PHP เพื่อเขียนและปิดบังซอร์ส HTML ของคุณลบข้อมูลที่ไม่จำเป็นออก
• ใช้ชื่อแทน url หรือ custom_url_rewrite_in / outbound เพื่อทำให้ URL ของคุณยุ่งเหยิง
• เปลี่ยนข้อผิดพลาด 404 เริ่มต้นลบ / เปลี่ยน update.php
• ทำการเปลี่ยนแปลงอื่น ๆ หากมีคนค้นพบ

และสุดท้าย แต่ไม่ท้ายสุดตรวจสอบให้แน่ใจว่าเว็บไซต์ของคุณเรียบง่ายซึ่งไม่จำเป็นต้องใช้ JS หรือ CSS สำหรับพฤติกรรมปกติ (อย่าใช้ Views หรือ Ctools ... ) ไม่รองรับการตรวจสอบผู้ใช้ ฯลฯ ซึ่งหมายความว่าเว็บไซต์ของคุณควร จะง่ายเหมือนเว็บไซต์ html คงที่

ตกลงสิ่งที่ทำให้คนอื่นเชื่อว่าไซต์ของคุณไม่ได้ทำงาน Drupal อย่างไรก็ตามการรักษาความปลอดภัยโดยความสับสนนั้นไม่มีประโยชน์

มีบทความอย่างเป็นทางการและการอภิปรายเกี่ยวกับการเป็นแบบเดียวกัน

คุณทำไม่ได้ อย่าลอง

• การโจมตีแบบอัตโนมัติ (ไกลโดยการโจมตีที่พบมากที่สุด) ไม่ได้ตรวจสอบเซิร์ฟเวอร์ก่อนที่จะพยายามหาประโยชน์ของพวกเขา
  ตรวจสอบบันทึกของเว็บไซต์สูงรายละเอียดใด ๆ จะแสดงหลายพันของการร้องขอไร้ผล /AspBB/db/betaboard.mdb _private/cmd.asp /scripts/../../winnt/system32/cmd.exe /wp-login/ /administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi... และจำนวนของความพยายามที่จะหาประโยชน์ทางประวัติศาสตร์ใด ๆ ในระบบที่ไม่เกี่ยวข้องใด ๆ
  การโจมตีหาช่องโหว่เกิดขึ้นแม้ว่าช่องโหว่นั้นจะไม่มีอยู่ในระบบปฏิบัติการหรือ CMS ของคุณ สิ่งที่คุณทำเพื่อระบุไซต์ของคุณผิดจะถูกละเว้นโดยแฮกเกอร์มือสมัครเล่น
• สิ่งที่คุณคิดว่าคุณสามารถซ่อนมีเบาะแสอื่น ๆสำหรับระบบใด ๆ
  เพียงแค่ลบบางส่วนของสตริงทั้งหมดที่มี 'drupal' ไม่ได้ปลอมตัวเว็บไซต์ของคุณไปที่ snooper ที่เหมาะสม มีหลายวิธีที่สามารถใช้คาดเดาสิ่งที่ให้บริการหน้าเว็บของคุณหรือแม้แต่บริการเฉพาะที่จะบอกได้ว่าเว็บไซต์นั้นทำงานกับ Drupal หรือไม่ คำหลักที่ คุณรู้จักและคิดว่าเป็นภัยคุกคามเป็นเพียงส่วนย่อยของตัวบ่งชี้จริง
  ขอ index.php /? q = ผู้ใช้ จากนั้นลองปิดใช้งานการตอบสนองนั้นโดยไม่ทำให้ไซต์ของคุณเสียหาย
• การรักษาความปลอดภัยโดยความสับสนนั้นไม่มีความปลอดภัย มันให้ความรู้สึกที่ผิดพลาดว่า 'ปลอดภัย' เมื่อคุณซ่อนช่องโหว่ด้านหลัง smokescreen ที่ผู้โจมตีใด ๆ ที่โพสต์ภัยคุกคามที่แท้จริงจะสามารถมองเห็นได้
• แม้ว่ามันจะเป็นไปไม่ได้เลยที่จะแฮ็ครหัสไปยังจุดที่ ร่องรอยส่วนใหญ่ของ Drupal ซ่อนอยู่จากซอร์ส HTML (เป็นโอเพ่นซอร์สหลังจากทั้งหมด) ขั้นตอนที่จำเป็นต้องทำเช่นนั้นจะทำลายคอร์จนทำให้แฮ็กสาขาของโค้ดไม่ถูกต้อง จะเข้ากันไม่ได้กับการอัปเดตความปลอดภัยที่แท้จริงซึ่งคุณไม่สามารถแก้ไขได้และจะเปิดให้มีการคุกคามที่แท้จริงที่ระบุโดยทีมรักษาความปลอดภัยในอนาคต นี่เป็นเส้นทางที่แท้จริงสู่ช่องโหว่ของระบบ
• โมดูลที่สำคัญหรือมีประโยชน์ส่วนใหญ่มีรหัส 'ลายเซ็น' ของตัวเองซึ่งยากที่จะซ่อนโดยไม่ต้องเขียนซ้ำอย่างมีนัยสำคัญ หากคุณใช้ 'views', 'cck', 'ad', 'imagecache', 'jquery', css-aggregation, ธีมที่มีส่วนร่วมหรือสิ่งใด ๆ ที่มีประโยชน์ในไซต์ของคุณ - ใครบางคนสามารถบอกได้ การซ่อนที่มักจะต้องมีการแปลงทั้งหมดของฟังก์ชั่นชุดรูปแบบ - อย่างน้อย แล้วถึงแม้ obsfucation อาจจะไม่ทำงาน
• ในการลบการระบุคุณสมบัติขั้นสูงหลายอย่างเช่นแม้แต่การติดตั้ง Google Analytics ที่ใช้งานง่ายซึ่งอาจใช้ Drupal Libraries ในการทำงานคุณจะต้องละทิ้งคุณสมบัติเหล่านั้นไปพร้อม ๆ กันหรือเขียนใหม่ในลักษณะที่ไม่ใช้ประโยชน์จากโครงสร้างพื้นฐาน Drupal . บางครั้งสิ่งนี้เป็นไปได้ แต่ในทุกกรณีมันมีผลต่อต้าน

คุณอาจสนใจอ่านการรักษาความปลอดภัยให้กับเว็บไซต์ของคุณเช่นกัน

จำไว้ว่าอย่าแฮ็คคอร์

ไม่มีจุดใดที่จะซ่อนเว็บไซต์ของคุณใช้ Drupal มันเป็นวิธีที่ผิดในการดูเว็บไซต์ที่กำลังพัฒนา สิ่งที่คุณควรเน้นคือความปลอดภัย ตรวจสอบให้แน่ใจว่าคุณใช้มาตรการด้านหลักทรัพย์ทั้งหมดและทุกอย่างจะดี ไม่มีเหตุผลใดในโลกที่จะซ่อนตัวว่าคุณกำลังใช้งาน cms หรือซอฟต์แวร์อื่น ๆ อยู่ ด้วย addons ของ FF เช่น Wappalyzer คุณสามารถบอกได้ทันทีว่าไซต์ใดใช้ Drupal ดังนั้นคำถามก็คือสิ่งที่สงสัย

สิ่งพิเศษที่คุณสามารถทำได้คือใช้โมดูลชื่อแทนไฟล์เพื่อเปลี่ยนโครงสร้างไฟล์เริ่มต้น

ไฟล์นามแฝงโมดูลช่วยให้คุณใช้นามแฝงปรับแต่งโทเค็นสำหรับไฟล์ที่อัปโหลดของคุณให้คุณสามารถให้ระบบไฟล์ของคุณจัดตามปกติในขณะที่ให้เส้นทางที่ดูสะอาด (เช่นไม่เกิน / เว็บไซต์ / default / / ไฟล์)

ฉันเห็นด้วยกับคนอื่นที่คุณไม่สามารถซ่อนได้ทั้งหมด หากคุณดูที่แหล่ง HTML คุณจะสังเกตเห็นว่าไฟล์ CSS และ JavaScript หลายครั้งยังไม่ถูกรวมเข้าด้วยกัน ควรเปิดใช้งานการรวม CSS และ JavaScript

ในอดีตที่ผ่านมาฉันได้เปลี่ยนแบบอักษรของฉันสำหรับแบบอักษรโครงการ Ruby ทั่วไปเช่น Lucida Sans รวมถึงการเพิ่มขนาดอินพุตเช่นเดียวกับที่เด็กสะโพกทำ

การให้อีกอย่างคือกราฟิก "throbber" สำหรับฟิลด์เติมข้อความอัตโนมัติ มันยังไม่ทำงานเมื่อคุณเพิ่มขนาดอินพุต นี่คือสิ่งที่คุณสามารถขโมยได้: http://beta.seattlebedandbreakfast.com/misc/throbber.gif