Résultat de l'analyse de sécurité - Le serveur fuit les inodes via ETags
Après une analyse automatisée sur mon application Web, j'ai pour résultat que "Le serveur fuit des inodes via ETags, en-tête trouvé avec un fichier/icônes/README, champs: 0x16a4 0x438c0000000".
J'ai lu sur ETags mais je ne vois aucun risque de sécurité lié à cela. INode défini comme "Le numéro d'i-nœud du fichier sera inclus dans le calcul" fait partie de la configuration standard. "
Tout d'abord, c'est un faux positif . Nikto signale ce problème "Le serveur fuit des inodes via ETags" si il y a un tiret dans l'en-tête ETag , ce qui en soi n'est une indication de rien.
Un inode est une structure de données utilisée par le système de fichiers Linux. Chaque fichier et répertoire a un inode qui stocke son nom, sa taille et d'autres données. Chaque inode a un numéro qui l'identifie de manière unique. Apache HTTPD a utilisé cela dans l'ETag pendant un certain temps. L'ETag est un identifiant qui devrait identifier de manière unique un fichier sur le serveur Web, et le numéro d'inode est un nombre qui identifie de manière unique un fichier sur le système de fichiers, donc il semblait logique d'utiliser l'un pour l'autre .
Le numéro d'inode est une information technique du système de fichiers. S'il est exposé, il ne peut pas être utilisé pour exploiter quoi que ce soit d'utile. De plus, il n'est exposé que sur les fichiers que vous pouvez déjà télécharger. Cela ne semble pas représenter un réel risque pour la sécurité si un serveur expose des inodes.