「セキュリティ上の理由でWebアプリケーションで使用されているフレームワーク/テクノロジーを非表示にする」について読んだことがあります...
しかし、なぜ?プロジェクトの作成に使用しているツールを公開することは本当の問題ですか?
LinkedInやFacebookなどの大規模なパブリックWebアプリケーションでは、プラットフォームに使用されているテクノロジーが隠されていないので、なぜ私はそうすべきなのでしょうか。
これを行う他の理由はありますか?
フレームワークを非表示にしても、セキュリティは保証されません。しかし、攻撃を成功させるのは簡単ではありません。
すべてのソフトウェアが最新であると仮定しても、Technology vX.YZを使用しているという事実をブロードキャストし、そのバージョンのセキュリティ問題が見つかった場合、攻撃者はその脆弱性の開示とアップデートのインストールの間に機会の窓があります。 。
セキュリティを重視するプロフェッショナルな組織の場合、最初から不必要なサービスが公開されることはなく、ソフトウェアの脆弱性にすばやくパッチを当てることができます。これの最大の部分は、問題があることを知ることです。つまり、使用しているソフトウェアの適切なメーリングリストに登録し、 CVEs で最新の状態に保ちます。
ソフトウェアバージョンに関する不要な情報を最小限に抑えることで、リスクも軽減されます。しかし、それは実際には何も妨げません。攻撃は自動的に実行される可能性があり、ホスティングプロバイダーとクラウドサービスのIP範囲は特に有望なターゲットであることに注意してください。 Shodan のような検索エンジンがあり、これらのサービスがメタデータを介して自身を開示する場合、特定のテクノロジーやバージョンを検索できることに注意してください。