Webアプリケーションで使用されるフレームワークを非表示にすることは良い習慣ですか？

フレームワークを非表示にしても、セキュリティは保証されません。しかし、攻撃を成功させるのは簡単ではありません。

すべてのソフトウェアが最新であると仮定しても、Technology vX.YZを使用しているという事実をブロードキャストし、そのバージョンのセキュリティ問題が見つかった場合、攻撃者はその脆弱性の開示とアップデートのインストールの間に機会の窓があります。 。

セキュリティを重視するプロフェッショナルな組織の場合、最初から不必要なサービスが公開されることはなく、ソフトウェアの脆弱性にすばやくパッチを当てることができます。これの最大の部分は、問題があることを知ることです。つまり、使用しているソフトウェアの適切なメーリングリストに登録し、 CVEs で最新の状態に保ちます。

ソフトウェアバージョンに関する不要な情報を最小限に抑えることで、リスクも軽減されます。しかし、それは実際には何も妨げません。攻撃は自動的に実行される可能性があり、ホスティングプロバイダーとクラウドサービスのIP範囲は特に有望なターゲットであることに注意してください。 Shodan のような検索エンジンがあり、これらのサービスがメタデータを介して自身を開示する場合、特定のテクノロジーやバージョンを検索できることに注意してください。