Histórico da Página
...
O objetivo deste guia é alertar quanto ao problema de expor informações confidenciais e/ou sensíveis nos cabeçalhos HTTP, bem como apresentar o procedimento para ocultar essas informações nos balanceadores de carga homologados para uso no TOTVS Fluig Plataforma.
...
A aplicação retorna informações confidenciais e/ou sensíveis nos cabeçalhos HTTP que podem ser aproveitadas em tentativas de invasão. Um aspecto importante do desenvolvimento de aplicações seguras é evitar o vazamento de informações: cabeçalhos HTTP podem fornecer a um atacante o conhecimento sobre o funcionamento interno de uma aplicação.
...
Para evitar essa exposição, sugerimos realizar o tratamento de informações de saída. O procedimento para ocultar as informações depende do load balancer utilizado no ambiente: Apache, Nginx ou Microsoft NLB.
Apache
Acompanhe os passos a seguir:
...
effectDuration | 0.5 |
---|---|
history | false |
id | apache |
effectType | fade |
Card | ||||||
---|---|---|---|---|---|---|
| ||||||
1. Editar o arquivo de configuração: /etc/apache2/conf-available/security.conf 2. Alterar os dois parâmetros:
Com esta alteração, o servidor não mostra mais a versão: |
...
id | 2 |
---|---|
label | Remover por completo a informação |
...
Para remover por completo a informação
...
, acompanhe os passos a seguir:
1. Instalar o módulo mod- security.
Bloco de código |
---|
sudo apt install libapache2-mod-security2 |
2. Adicionar o módulo do Apache.
Bloco de código |
---|
sudo a2enmod security2 |
3. Editar o arquivo de configuração de segurança:
Bloco de código |
---|
sudo vim /etc/apache2/conf-available/security.conf |
4. Adicionar a opção:
- SecServerSignature " "
Nota | |||||
---|---|---|---|---|---|
Card |
| ||||
É possível alterar o conteúdo para qualquer informação , seguindo o procedimento anterior. Porém, em. Em vez de adicionar SecServerSignature " ", adicionar o texto desejado, exemplo:
Com isso, a opção Server passa a apresentar: |
Nginx
Acompanhe os passos a seguir:
...
effectDuration | 0.5 |
---|---|
history | false |
id | nginx |
effectType | fade |
Card | ||||||
---|---|---|---|---|---|---|
| ||||||
1. Editar o arquivo de configuração onde está a diretiva HTTP. 2. Certificar-se de que a opção server_tokens off esteja ativada conforme abaixo: Com esta configuração passará a não apresentar a versão do servidor: |
...
id | 2 |
---|---|
label | Remover por completo a informação |
5. Alterar os dois parâmetros para ocultar a informação do Server:
- ServerSignature Off
- ServerTokens Prod
6. Incluir os dois parâmetros para ocultar a informação do X-Powered-By:
- Header always unset "X-Powered-By"
- Header unset "X-Powered-By"
7. Reiniciar o Apache.
Com isso, a opção Server passa a não apresentar nenhuma informação:
Nginx
...
Para remover por completo a informação, acompanhe os passos a seguir:
...
1. Instalar o módulo ngx_headers_more. A instalação depende de cada sistema operacional. No Debian basta executar o comando abaixo:
Bloco de código | ||
---|---|---|
| ||
apt install libnginx-mod-http-headers-more-filter |
2. Editar o arquivo de configuração onde está configurado o proxy reverso e adicionar
...
as opções abaixo na sessão location:
Bloco de código | ||||
---|---|---|---|---|
location / {
...
more_clear_headers ‘Server’;
Esta opção limpa mais opções do cabeçalho HTTP. Neste caso irá remover a informação ‘Server’. Card | | |||
| ||||
Bloco de código |
3. Reiniciar o Nginx.
Esta configuração limpa mais informações do cabeçalho HTTP. Neste caso irá remover as informações Server e X-Powered-By.
Microsoft NLB
...
Nesse caso, a solução é um pouco diferente, sendo necessário incluir regras de saída utilizando a reescrita de URL. Acompanhe os passos a seguir:
Deck of Cards | |||||||||
---|---|---|---|---|---|---|---|---|---|
| |||||||||
Deck of Cards | |||||||||
| |||||||||
|
Acompanhe os passos a seguir:
|