フッターとレスポンスヘッダーから攻撃の糸口を消す

何をしていたか

ポートフォリオサイトのフッターに、使っているOSの名前とバージョン、SSL証明書プロバイダーの名前をそのまま書いていた。「技術力のアピールになる」と考えていた。

何が問題か

攻撃者はターゲットの技術スタックを特定することから始める。OSの種類とバージョンがわかれば、CVEデータベースでそのバージョンの既知の脆弱性を検索できる。パッチ未適用の脆弱性があれば、そこが攻撃の入口になる。

フッターに書くというのは、偵察を自ら省略してあげているようなものだ。

修正

フッターから具体的なソフトウェア名・バージョン・プロバイダー名を削除し、抽象的な表現に置き換えた。「自分でホストしている」という事実は残しつつ、攻撃に使える情報は消した。

学び

• 技術スタックの具体的な公開は攻撃面の拡大と同義
• 「動いているもの」の情報と「見せる情報」は分離する
• フッター、ヘッダー、エラーページなど、意図せず情報が漏れる場所は複数ある
• アピールしたい気持ちとセキュリティのバランスを意識する