Wyłączenie nagłówków „X-Powered-By” i „Server” w serwerze WildFly 10

Zgodnie z zaleceniami OWASP „Fingerprint Web Application Framework (OTG-INFO-008)" należy wyłączyć specyficzne nagłówki, które są wysyłane przez serwer aplikacyjny lub używany framework. Im mniej informacji posiada atakujący tym trudniej mu będzie przeprowadzić atak.

Podane poniżej przykłady dotyczą uruchomienia poleceń w jboss-cli dla trybu standalone.

1$WILDFLY_HOME/bin/jboss-cli.sh --connect

Wyłączenie nagłówka „X-Powered-By” oraz „Server” zwracanych przez Wildfly

1/subsystem=undertow/server=default-server/host=default-host/filter-ref=server-header:remove()
2/subsystem=undertow/server=default-server/host=default-host/filter-ref=x-powered-by-header:remove()
3/subsystem=undertow/configuration=filter/response-header=server-header:remove()
4/subsystem=undertow/configuration=filter/response-header=x-powered-by-header:remove()

Wyłączenie nagłówka „X-Powered-By” generowanego przez silnik servletów

1/subsystem=undertow/servlet-container=default/setting=jsp:write-attribute(name=x-powered-by,value=false)

Usunięcie welcome-content

Warto też usunąć stronę startową serwera aplikacyjnego Wildfly.

1/subsystem=undertow/server=default-server/host=default-host/location=\/:remove()
2/subsystem=undertow/configuration=handler/file=welcome-content:remove()

Tłumaczenia: