Par défaut , le serveur Web Apache affiche des informations sur la configuration du serveur Web sur des pages d'erreurs HTTP , pour aider à déboguer les causes des erreurs . Bien que cette information est utile lorsque la traque des problèmes , ce n'est pas un comportement souhaitable sur un server.Revealing les informations du serveur affiche un attaquant potentiel la version d'Apache et de détails sur les modules supplémentaires qui ont été installés Web de production. Grâce à ces informations , l'attaquant peut rechercher les vulnérabilités connues spécifiques à cette version et éventuellement compromettre le serveur si les correctifs de sécurité ne sont pas à jour. Instructions
1
Ouvrez le fichier de configuration du serveur Web Apache dans un éditeur de texte, à partir du répertoire auquel Apache a été installé. Le fichier de configuration sera nommé " apache2.conf " ou " httpd.conf ", selon votre système d'exploitation et la version Apache .
2
Recherchez le paramètre nommé " ServerTokens " qui est généralement fixé à "Full" par défaut et affiche les informations de version complète d'Apache . Changez ce réglage pour " Prod ", qui affichera uniquement " Apache" et non le numéro de version ou des informations de module.
3
Recherchez le paramètre " ServerSignature », qui est réglé sur " On" par défaut. Modifier ce paramètre sur "Off ", qui arrêtera les informations du serveur d'être inclus dans les pages d'erreur HTTP .
4
Enregistrez le fichier et redémarrez Apache pour commencer à utiliser les nouveaux paramètres.
5
test que Apache n'est plus montre informations serveur en accédant à une page qui n'existe pas sur le serveur. Le serveur va montrer une « page introuvable» de la page 404 , et vous ne devrait plus être en mesure de voir toutes les informations sur la version du serveur et des modules.