Wyłączenie nagłówków „X-Powered-By” i „Server” w serwerze WildFly 10

Mariusz Wyszomierski Bezpieczeństwo, Tips & Tricks Wyłączenie nagłówków „X-Powered-By” i „Server” w serwerze WildFly 10

Bezpieczeństwo Tips & Tricks

Wyłączenie nagłówków „X-Powered-By” i „Server” w serwerze WildFly 10

Posted By Mariusz Wyszomierski

Zgodnie z zaleceniami OWASP „Fingerprint Web Application Framework (OTG-INFO-008)” należy wyłączyć specyficzne nagłówki, które są wysyłane przez serwer aplikacyjny lub używany framework. Im mniej informacji posiada atakujący tym trudniej mu będzie przeprowadzić atak.

Podane poniżej przykłady dotyczą uruchomienia poleceń w jboss-cli dla trybu standalone.

$WILDFLY_HOME/bin/jboss-cli.sh --connect

Wyłączenie nagłówka „X-Powered-By” oraz „Server” zwracanych przez Wildfly

/subsystem=undertow/server=default-server/host=default-host/filter-ref=server-header:remove()
/subsystem=undertow/server=default-server/host=default-host/filter-ref=x-powered-by-header:remove()
/subsystem=undertow/configuration=filter/response-header=server-header:remove()
/subsystem=undertow/configuration=filter/response-header=x-powered-by-header:remove()

Wyłączenie nagłówka „X-Powered-By” generowanego przez silnik servletów

/subsystem=undertow/servlet-container=default/setting=jsp:write-attribute(name=x-powered-by,value=false)

Usunięcie welcome-content

Warto też usunąć stronę startową serwera aplikacyjnego Wildfly.

/subsystem=undertow/server=default-server/host=default-host/location=\/:remove()
/subsystem=undertow/configuration=handler/file=welcome-content:remove()

Tagged , , , , ,

Written by Mariusz Wyszomierski

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Time limit is exhausted. Please reload CAPTCHA.