Wyłączenie nagłówków „X-Powered-By” i „Server” w serwerze WildFly 10
Zgodnie z zaleceniami OWASP „Fingerprint Web Application Framework (OTG-INFO-008)" należy wyłączyć specyficzne nagłówki, które są wysyłane przez serwer aplikacyjny lub używany framework. Im mniej informacji posiada atakujący tym trudniej mu będzie przeprowadzić atak.
Podane poniżej przykłady dotyczą uruchomienia poleceń w jboss-cli dla trybu standalone.
1$WILDFLY_HOME/bin/jboss-cli.sh --connect
Wyłączenie nagłówka „X-Powered-By” oraz „Server” zwracanych przez Wildfly
1/subsystem=undertow/server=default-server/host=default-host/filter-ref=server-header:remove()
2/subsystem=undertow/server=default-server/host=default-host/filter-ref=x-powered-by-header:remove()
3/subsystem=undertow/configuration=filter/response-header=server-header:remove()
4/subsystem=undertow/configuration=filter/response-header=x-powered-by-header:remove()
Wyłączenie nagłówka „X-Powered-By” generowanego przez silnik servletów
1/subsystem=undertow/servlet-container=default/setting=jsp:write-attribute(name=x-powered-by,value=false)
Usunięcie welcome-content
Warto też usunąć stronę startową serwera aplikacyjnego Wildfly.
1/subsystem=undertow/server=default-server/host=default-host/location=\/:remove()
2/subsystem=undertow/configuration=handler/file=welcome-content:remove()