وقتی با یه ابزار مثل افزونه فایر باگ، درخواستهای سرور رو نگام می کنم، به راحتی می شه تشخیص داد که وب سرور من آپاچی هست.


چطور می تونم کاری کنم که کاربر یا هکر نتونه وب سرور، سیستم عامل رو تشخیص بده؟ در ادامه کدی که فایرباگ نمایش داده رو قرار دادم. می خوام این کد تغییر کنه.


ServerApache/2.2.11 (Win32) DAV/2 mod_ssl/2.2.11 OpenSSL/0.9.8i mod_autoindex_color PHP/5.2.8

دوستان نظری ندارن؟

واسه چی میخوای این کار رو بکنی؟

واسه چی میخوای این کار رو بکنی؟
لازم دارم.

باید این کار رو انجام بدم.

آیا برای این کار راهی هست؟

من می خوام مشخصات برنامه های مایکروسافت رو نمایش بدم.

منکه از اینطور کارا اصلا خوشم نمیاد. آدم وقت و انرژیش رو چرا روی همچین چیزایی تلف کنه؟ واقعا ضرورتی داره؟ تنها راهه؟
و فکر میکنم انجام اینطور چیزا هم معمولا راه سرراستی نداره و کثیف و غیرمطمئن از آب درمیاد. یعنی هرچی رو جعلی درست میکنه یه جوری یا از یک راه دیگه ممکنه بشه فهمید.
بنظر من اگر اینطور چیزا چیز خوب و ضروری ای بود خودشون در نرم افزارها میذاشتن که شما بتونی با فعال کردن یه گزینه براحتی این کار رو انجام بدی.
از طرف دیگه شما یه جایی یه کاری رو واسه خودت انجام میدی، ولی فکر کن اگر این کارها فراگیر بشه چقدر ابهام و پیچیدگی و مشکلات ممکن هست در وب و برای کاربران و برنامه نویسان پیش بیاد. یعنی میبینی همهء نرم افزارها دارن دروغ میگن و رفتارشون قابل پیشبینی نیست و نمیشه آمار گرفت و از باگها و ناسازگاری ها بصورت هوشمندانه اجتناب کرد و خیلی مسائل محتمل و ظریف دیگه.
بهرحال حتما دلیل خودت رو داری. ولی اینکه دلیلش رو نمیگی خودت رو از همفکری و دانش دیگران محروم میکنی.

در نهایت پیاده سازیش بنظرم یک نوع تقلید باید باشه و هرجا رو بنظرت میرسه باید شبیه برنامه های مورد نظر کنی. حالا بستگی داره بخوای چه افرادی رو گول بزنی. هدف درحد کاربران عادی هست یا یک هکر حرفه ای که سایتت رو زیر ذره‌بین و ابزارهای اسکن بذاره؟ اما همونطور که گفتم بنظر بنده هیچوقت نمیشه از کامل بودن اینطور چیزا مطمئن بود. 10 تا چیز شما به فکرت میرسه و تازه اون 10 مورد رو اگر واقعا حرفه ای باشی و بدون درز جعل کنی باز ممکنه یه جا یا چیز دیگه از دستت در رفته باشه.
مثلا هدرها و پیامهای سیستم عامل (مثل خطای 404) رو جعل میکنی و فکر میکنی کافیه؛ ولی سیستم فایل لینوکس حساس به کوچکی و بزرگی حروف هست، و مال ویندوز نه. از همین میشه با دادن آدرس یک فایل با حروف بزرگ و کوچک متفاوت فهمید که سیستم ویندوز نیست. اما خب میری دنبالش و یه کلکی پیاده میکنی که جلوی این رو بگیری. خب ممکنه ده تا چیز دیگه هم باشه که من و شما حتی روحمون هم خبر نداره، ولی یه هکر حرفه ای میدونه یا ابزارهای اسکن نشون میدن.
برای همین میگم بستگی به این داره که برای چه منظوری باشه و بخوای جلوی چه افرادی رو با چه انگیزه ای بگیری.

منکه از اینطور کارا اصلا خوشم نمیاد. آدم وقت و انرژیش رو چرا روی همچین چیزایی تلف کنه؟ واقعا ضرورتی داره؟ تنها راهه؟
و فکر میکنم انجام اینطور چیزا هم معمولا راه سرراستی نداره و کثیف و غیرمطمئن از آب درمیاد. یعنی هرچی رو جعلی درست میکنه یه جوری یا از یک راه دیگه ممکنه بشه فهمید.
بنظر من اگر اینطور چیزا چیز خوب و ضروری ای بود خودشون در نرم افزارها میذاشتن که شما بتونی با فعال کردن یه گزینه براحتی این کار رو انجام بدی.
از طرف دیگه شما یه جایی یه کاری رو واسه خودت انجام میدی، ولی فکر کن اگر این کارها فراگیر بشه چقدر ابهام و پیچیدگی و مشکلات ممکن هست در وب و برای کاربران و برنامه نویسان پیش بیاد. یعنی میبینی همهء نرم افزارها دارن دروغ میگن و رفتارشون قابل پیشبینی نیست و نمیشه آمار گرفت و از باگها و ناسازگاری ها بصورت هوشمندانه اجتناب کرد و خیلی مسائل محتمل و ظریف دیگه.
بهرحال حتما دلیل خودت رو داری. ولی اینکه دلیلش رو نمیگی خودت رو از همفکری و دانش دیگران محروم میکنی.

در نهایت پیاده سازیش بنظرم یک نوع تقلید باید باشه و هرجا رو بنظرت میرسه باید شبیه برنامه های مورد نظر کنی. حالا بستگی داره بخوای چه افرادی رو گول بزنی. هدف درحد کاربران عادی هست یا یک هکر حرفه ای که سایتت رو زیر ذره‌بین و ابزارهای اسکن بذاره؟ اما همونطور که گفتم بنظر بنده هیچوقت نمیشه از کامل بودن اینطور چیزا مطمئن بود. 10 تا چیز شما به فکرت میرسه و تازه اون 10 مورد رو اگر واقعا حرفه ای باشی و بدون درز جعل کنی باز ممکنه یه جا یا چیز دیگه از دستت در رفته باشه.
مثلا هدرها و پیامهای سیستم عامل (مثل خطای 404) رو جعل میکنی و فکر میکنی کافیه؛ ولی سیستم فایل لینوکس حساس به کوچکی و بزرگی حروف هست، و مال ویندوز نه. از همین میشه با دادن آدرس یک فایل با حروف بزرگ و کوچک متفاوت فهمید که سیستم ویندوز نیست. اما خب میری دنبالش و یه کلکی پیاده میکنی که جلوی این رو بگیری. خب ممکنه ده تا چیز دیگه هم باشه که من و شما حتی روحمون هم خبر نداره، ولی یه هکر حرفه ای میدونه یا ابزارهای اسکن نشون میدن.
برای همین میگم بستگی به این داره که برای چه منظوری باشه و بخوای جلوی چه افرادی رو با چه انگیزه ای بگیری.
من دارم یه کاری می کنم که آثار پی اچ پی به کل حذف بشه، اما با توجه به هدرها و آثار آپاچی این کار من چندان اثری نداره.

چه راهی به ذهنتون می رسه؟

این کار به نظر من در بعضی جاها خیلی مفید. البته که هیچ چیز قابل پنهان شدن نیست اما حداقل روی زمان تاثیرگذار و شاید هکر را کمی سردرگم کنه و ...
برای اینکه مشخصات سیستم عامل نمایش داده نشه با به صورت سفارشی باشه باید در تنظیمات آپاچی ServerTokens را مشخص کنی. من اون را روی Prod میگذارم که فقط Apache را نشون بده، اطلاعات کامل اینجا : http://httpd.apache.org/docs/current/mod/core.html#servertokens
برای اینکه مشخص کنید سایت با چه زبانی ساخته شده هم میتونید در php از این استفاده کنید:


header('X-Powered-By: example');

راه های دیگه ای هم هست، php هم خودش یک کد داره که تنظیم میکنه نسخه php را نمایش بده یا نه(یادم نیست چی بود اما مطمنم که هست چون قبلا تست کردم)
اسم وب سرور هم میشه عوض کرد، جایی که من ازش هاست میگیرم این کار را کرده اما من بلد نیستم. به جای Apache گذاشته serverx، با این کار و تنظیمات درست هدر هیچکس متوجه نوع وب سرور نمیشه.

موفق باشید

این کار به نظر من در بعضی جاها خیلی مفید. البته که هیچ چیز قابل پنهان شدن نیست اما حداقل روی زمان تاثیرگذار و شاید هکر را کمی سردرگم کنه و ...
برای اینکه مشخصات سیستم عامل نمایش داده نشه با به صورت سفارشی باشه باید در تنظیمات آپاچی ServerTokens را مشخص کنی. من اون را روی Prod میگذارم که فقط Apache را نشون بده، اطلاعات کامل اینجا : http://httpd.apache.org/docs/current/mod/core.html#servertokens
برای اینکه مشخص کنید سایت با چه زبانی ساخته شده هم میتونید در php از این استفاده کنید:


header('X-Powered-By: example');

راه های دیگه ای هم هست، php هم خودش یک کد داره که تنظیم میکنه نسخه php را نمایش بده یا نه(یادم نیست چی بود اما مطمنم که هست چون قبلا تست کردم)
اسم وب سرور هم میشه عوض کرد، جایی که من ازش هاست میگیرم این کار را کرده اما من بلد نیستم. به جای Apache گذاشته serverx، با این کار و تنظیمات درست هدر هیچکس متوجه نوع وب سرور نمیشه.

موفق باشید
نمی شه با استفاده از htaccess اسم سرور وب رو از آپاچی به یه اسم دیگه تغییر داد؟

نمی شه با استفاده از htaccess اسم سرور وب رو از آپاچی به یه اسم دیگه تغییر داد؟
تا جایی که من میدونم خیر.

تا جایی که من میدونم خیر.

سایر دوستان نظری ندارن؟