공격자에게 몇 가지 단서를 제공하는 다양한 http 헤더 필드가 있습니다. 헤더 필드 'X-Runtime'이 응답 헤더에 있으면 공격자에게 어떤 단서를 줄 것인지 이해하고 싶었습니다. 나는 필드가 DOS 공격에 사용될 수있는 곳을 읽었지 만 DOS 공격에이 필드가 어떻게 사용될 수 있는지는 명확하지 않습니다. 이 포럼에서 단서를 얻는다면 좋을 것입니다.X-Runtime 헤더 관련 공격
어디서나 읽고있는 사람은 누구나 X-Runtime을 사용하여 DoS 공격을 배포하는 것은 완전히 잘못되었습니다. X-Runtime은 RFC 7231 (64 페이지)에서 확인할 수 있으므로 표준 응답 필드조차되지 않습니다. 서버 자체를 공격 (DoS)하는 수단으로 사용할 방법이 없습니다.
그러나 스파이더는 보안 취약성이있을 수있는 오래된 버전의 기술을 사용하는 웹 사이트를 검색 할 때 유용합니다. 따라서, X-Runtime 및 유사한 비표준 응답 헤더 필드는 오펜 테스터 또는 악의적 인 사용자가 공개 된 정보의 장점을 취할 수 있는지를보기 위해 오히려 intelligence gathering 단계에서 사용될 수있다.
다른 말로 표현하십시오. X-Runtime은 자체적으로 DoS 공격의 벡터가 아니지만 서버가 장황 해져 attack surface가 증가하므로 서버 관리자가이를 비활성화하는 방법을 묻는 이유가 여기에 있습니다. (Apache mod_headers not working)