攻撃者にいくつかのヒントを提供するさまざまなhttpヘッダーフィールドがあります。私は、ヘッダーフィールド 'X-Runtime'が応答ヘッダーにある場合、攻撃者に何か手がかりを与えることを理解したかったのですか?私はいくつかのフィールドをDOS攻撃のために使うことができるところを読んでいますが、DOS攻撃にどのように使用できるかについては明確ではありません。私がこのフォーラムで手掛かりを得れば素晴らしいだろう。Xランタイムヘッダー関連の攻撃
あなたが読んだところで誰でも、X-Runtimeは、DoS攻撃を展開するために使用できると完全に間違っています。 X-Runtimeは、RFC 7231(64ページ)で確認できる標準応答フィールドでもありません。サーバー自体を攻撃(DoS)する手段として、それ自体を使用する方法はありません。
ただし、セキュリティ上の脆弱性を含む可能性のある古いバージョンの技術を実行するウェブサイトを検索するスパイダーにとっては便利です。したがって、X-Runtimeおよび同様の非標準レスポンスヘッダフィールドは、開示された情報の利点を利用することができるかどうかを知るために、ペンステスターまたは悪意のあるユーザーが、フェーズでむしろ使用することができる。
言い換えれば、 X-Runtimeは単独ではDoS攻撃のベクトルではありませんが、サーバを冗長にするためattack surfaceが増加し、サーバ管理者が無効にする方法が尋ねられます(Apache mod_headers not working)