Webアプリケーションで自動スキャンを実行した後、「サーバーはETagを介してiノードをリークし、ヘッダーはファイル/ icons/READMEで見つかりました。フィールド:0x16a4 0x438c0000000 "。
ETagについて読みましたが、これに関連するセキュリティリスクはありません。 「ファイルのiノード番号が計算に含まれる」と定義されたINodeは、標準構成の1つです。
まず、これは false positive です。 Niktoは ETagヘッダーにダッシュがある の場合、「サーバーがETagを介してiノードをリークする」という問題を報告します。
Iノードは、Linuxファイルシステムで使用されるデータ構造です。すべてのファイルとディレクトリには、名前、サイズ、その他のデータを格納するiノードがあります。すべてのiノードには、それを一意に識別する番号があります。 Apache HTTPDはこれをETagでしばらく使用しました。 ETagはウェブサーバー上のファイルを一意に識別する識別子であり、inode番号はファイルシステム上のファイルを一意に識別する番号であるため、これは 意味があるように思われる もう一方に使用する。
Iノード番号は、ファイルシステムからの技術情報です。公開された場合、有用なものを悪用するために使用することはできません。さらに、すでにダウンロード可能なファイルでのみ公開されます。サーバーがiノードを公開している場合は、実際のセキュリティリスクには思えません。