为什么浏览器泄漏他们的版本信息到网络服务器?


0

这个问题推测这一切。如果我的Firefox浏览器在USER_AGENT属性中放置了类似“..Gecko/xxyy Firefox/nn.mm ..”的内容,那么从安全角度来看,这不是对Web服务器的公开邀请:来探索所有我的xx.yy版本中存在漏洞?

许多在线用户都知道不要长时间升级浏览器(尤其是那些使用debian或centos等稳定发行版的用户)。在这里,他们公开暴露于在过时的浏览器中被利用的任何已知漏洞。几年前,你可能会认为网络服务器可能会根据浏览器类型(IE/Firefox/Safari /等等)输出兼容的内容,但随着HTML,CSS等的标准化。我不认为这个论点现在在2013年持有。如果有的话,这为网络安全中已经需要处理的大量复杂性增加了一个漏洞。你不这么认为吗?

+3

这些稳定的分布通常是back-port安全修复程序。而且不安全的浏览器是不安全的,无论它是否试图隐藏其版本号。 10 8月. 132013-08-10 23:12:33

  0

“不安全的浏览器是不安全的,不管它是否试图隐藏其版本号” - 同意,但它仍然很容易。例如,只要查看服务器日志,就可以说 - '啊哈,这个IP似乎有浏览器x.y漏洞,所以让我利用它'。隐藏版本信息可以防止这种情况发生。 10 8月. 132013-08-10 23:19:01

+4

或者你可以发送所有的漏洞利用,并看看哪一个触发。 10 8月. 132013-08-10 23:24:31

  0

@LucasKauffman - 这是目前最常见的感染服务器所做的。由被现实绊倒的朦胧问题的聪明的主意安全。 10 8月. 132013-08-10 23:56:42

2

这也是一个公开的邀请,以使用浏览器支持的相应版本的脚本。不幸的是,为了拥有一个可用的网页,服务器需要知道它正在处理什么样的浏览器,并根据这些信息进行调整。是的,它确实可以更容易地瞄准攻击,但也有人可能会在页面上发起一系列攻击,并希望其中一个可行。这是一个相当有限的风险,有很多好处。最偏执狂的浏览器会禁用或伪造它,但它会降低访问网站的功能。


1

什么是服务器的攻击模型。如果您在浏览器上执行基于JavaScript或活动X的攻击,那么分析用户代理字符串可能会缩小它的范围,假设有问题的浏览器说实话。但考虑到它能够以多快的速度执行代码,我认为恶意软件作者可以轻松地将其有效载荷工作的平台作为目标,并不分青红皂白地利用漏洞。如果您保存了IP地址以便稍后侦察,那么我认为用户代理字符串可能是选择首先扫描哪些目标的有用工具。