攻撃者にいくつかのヒントを提供するさまざまなhttpヘッダーフィールドがあります。私は、ヘッダーフィールド 'X-Runtime'が応答ヘッダーにある場合、攻撃者に何か手がかりを与えることを理解したかったのですか?私はいくつかのフィールドをDOS攻撃のために使うことができるところを読んでいますが、DOS攻撃にどのように使用できるかについては明確ではありません。私がこのフォーラムで手掛かりを得れば素晴らしいだろう。Xランタイムヘッダー関連の攻撃
1
A
答えて
2
あなたが読んだところで誰でも、X-Runtime
は、DoS攻撃を展開するために使用できると完全に間違っています。 X-Runtime
は、RFC 7231(64ページ)で確認できる標準応答フィールドでもありません。サーバー自体を攻撃(DoS)する手段として、それ自体を使用する方法はありません。
ただし、セキュリティ上の脆弱性を含む可能性のある古いバージョンの技術を実行するウェブサイトを検索するスパイダーにとっては便利です。したがって、X-Runtime
および同様の非標準レスポンスヘッダフィールドは、開示された情報の利点を利用することができるかどうかを知るために、ペンステスターまたは悪意のあるユーザーが、フェーズでむしろ使用することができる。
言い換えれば、 X-Runtime
は単独ではDoS攻撃のベクトルではありませんが、サーバを冗長にするためattack surfaceが増加し、サーバ管理者が無効にする方法が尋ねられます(Apache mod_headers not working)
関連する問題
- 1. HTTPS攻撃とMITM攻撃
- 2. 防御攻撃
- 3. ヒープオーバーフロー攻撃
- 4. バッファオーバーフロー攻撃
- 5. クロスサイトスクリプティング攻撃、トラブル
- 6. XSS攻撃
- 7. XSSの攻撃ベクトル
- 8. WebRtcのMitm攻撃
- 9. CSRF攻撃のブラックリスト
- 10. ACUNETIX - ログインページのパスワード推測攻撃 - ブルートフォース攻撃とアカウントロックアウト
- 11. .htaccessファイルに関するWordpress攻撃
- 12. XSS攻撃防止
- 13. OpenGL Depth Spaz攻撃
- 14. 攻撃ベースのテキストベースのRPG
- 15. CheckMarx XSRF攻撃の問題
- 16. C#のXSS攻撃防御
- 17. AWS CloudFront for Ddosの攻撃
- 18. synflood攻撃のpythonエラー
- 19. フォーマットストリングCでの攻撃
- 20. Java:レイジーロードシングルトンとリフレクション攻撃?
- 21. Sqlインジェクション攻撃とサブソニック
- 22. AzureトラフィックマネージャとDDoS攻撃
- 23. XSS攻撃やスタイルが似
- 24. インジェクションハックPHP攻撃情報
- 25. XSS攻撃を防ぐ
- 26. セッションハイジャックまたは攻撃?
- 27. エラーフラッディング攻撃にフラッディング攻撃を使用してモートを作成しようと
- 28. WCFコールでのXSS攻撃の防止
- 29. ファイアベースでのjavascriptインジェクション攻撃のリスク
- 30. ハイドラブルートフォース攻撃私の家のTPLInkルータ