Question

Я хочу выполнить OW ASP ASVS 14.3.3 требование, которое соответствует:

14.3.3 Убедитесь, что заголовки HTTP или любая часть ответа HTTP не раскрывайте подробную информацию о версии системных компонентов.

Для брокера ActiveMQ. У меня проблема с STOMP протоколом CONNECTED сообщением, которое выглядит следующим образом:

CONNECTED
server:ActiveMQ/5.15.9
heart-beat:0,10000
session:ID:localhost.local-36323-1578488170638-3:15
version:1.2
user-name:user@example.com

И раскрыть (гипотетически злому) мою ActiveMQ версию брокера. Поэтому мой вопрос заключается в том, как скрыть целые * Заголовок 1015 * или, если это невозможно, возможно, его версия.

snieguu · Answer 1 · 09 января 2020

Это можно сделать небольшим взломом

Поскольку заголовок server устанавливается постоянной BROKER_VERSION в коде здесь
И значением константа BROKER_VERSION читается здесь из местоположения classpath /org/apache/activemq/version.txt
Мы должны переопределить содержимое /org/apache/activemq/version.txt, которое неожиданно находится в activemq-client

Как скрыть версию брокера ActiveMQ в заголовке сервера STOMP CONNECTED?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как скрыть версию брокера ActiveMQ в заголовке сервера STOMP CONNECTED?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы