공격자에게 몇 가지 단서를 제공하는 다양한 http 헤더 필드가 있습니다. 헤더 필드 'X-Runtime'이 응답 헤더에 있으면 공격자에게 어떤 단서를 줄 것인지 이해하고 싶었습니다. 나는 필드가 DOS 공격에 사용될 수있는 곳을 읽었지 만 DOS 공격에이 필드가 어떻게 사용될 수 있는지는 명확하지 않습니다. 이 포럼에서 단서를 얻는다면 좋을 것입니다.X-Runtime 헤더 관련 공격
1
A
답변
2
어디서나 읽고있는 사람은 누구나 X-Runtime
을 사용하여 DoS 공격을 배포하는 것은 완전히 잘못되었습니다. X-Runtime
은 RFC 7231 (64 페이지)에서 확인할 수 있으므로 표준 응답 필드조차되지 않습니다. 서버 자체를 공격 (DoS)하는 수단으로 사용할 방법이 없습니다.
그러나 스파이더는 보안 취약성이있을 수있는 오래된 버전의 기술을 사용하는 웹 사이트를 검색 할 때 유용합니다. 따라서, X-Runtime
및 유사한 비표준 응답 헤더 필드는 오펜 테스터 또는 악의적 인 사용자가 공개 된 정보의 장점을 취할 수 있는지를보기 위해 오히려 intelligence gathering 단계에서 사용될 수있다.
다른 말로 표현하십시오. X-Runtime
은 자체적으로 DoS 공격의 벡터가 아니지만 서버가 장황 해져 attack surface가 증가하므로 서버 관리자가이를 비활성화하는 방법을 묻는 이유가 여기에 있습니다. (Apache mod_headers not working)
관련 문제
- 1. 자바 호스트 헤더 공격
- 2. 레일 : 호스트 헤더 공격 취약점
- 3. 호스트 헤더 공격 수정 Codeigniter의 취약점
- 4. 방어도 공격
- 5. 전체 공격
- 6. 사전 공격
- 7. .Wav Speex 헤더 내용 관련 문제
- 8. 헤더 파일 가져 오기 관련 문제
- 9. R markdown : 라텍스 헤더 관련 문제
- 10. PHP 메일러 헤더 인코딩 관련 문제
- 11. smurf 공격 C#을 사용하여
- 12. WPF 응용 프로그램에 대한 공격
- 13. AS3 게임 개발 : 공격 방향이 다음과 같지 않은 공격 동작
- 14. DOM XSS 공격 탐지
- 15. OpenGL Depth Spaz 공격
- 16. $ _POST 폭탄 공격 방지
- 17. 서비스 거부 공격 피하기
- 18. Deobfuscate This JS 공격
- 19. 싱글 톤 클론 공격
- 20. iframe 삽입 공격
- 21. SQL 주입 공격 asp.net
- 22. 우분투에서 도스 공격 12.04
- 23. 형식 문자열 공격
- 24. SQL 인젝션 공격 테스트하기
- 25. Google지도 DOS 공격
- 26. CSRF 공격 시뮬레이션
- 27. PHP - 인코딩 다시 공격
- 28. Nhibenate - DOS 공격
- 29. XOR 암호화 공격 벡터
- 30. 힙 오버플로 공격