サーバーの詳細を非表示化する
Server ヘッダーを変更して、プラットフォームの詳細を難読化しましょう。これはかなり簡単な修正です。flask-app プロジェクトの app.py の内容を置き換えるだけです。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
|
import os
from flask import Flask
from pages import (
index,
about,
a1,
a2,
a3,
a5,
a6,
a7,
a9
)
import models
from flask_wtf.csrf import CSRFProtect
### Initialize App
app = Flask(__name__)
app.url_map.strict_slashes = False
### Enable CSRF
app.config['SECRET_KEY'] = os.urandom(32)
csrf = CSRFProtect()
csrf.init_app(app)
### Register blueprints
app.register_blueprint(index.bp)
app.register_blueprint(about.bp, url_prefix="/about")
app.register_blueprint(a1.bp, url_prefix="/owasp")
app.register_blueprint(a2.bp, url_prefix="/owasp")
app.register_blueprint(a3.bp, url_prefix="/owasp")
app.register_blueprint(a5.bp, url_prefix="/owasp")
app.register_blueprint(a6.bp, url_prefix="/owasp")
app.register_blueprint(a7.bp, url_prefix="/owasp")
app.register_blueprint(a9.bp, url_prefix="/owasp")
### Configure database
app.config['SQLALCHEMY_DATABASE_URI'] = "sqlite:///user.db"
models.db.init_app(app)
models.db.app = app
models.bootstrap()
### Add Security Headers
@app.after_request
def add_security_headers(r):
r.headers['X-Frame-Options'] = 'SAMEORIGIN'
r.headers['Server'] = 'SECRET'
return r
|
デバッグモードもオフにしましょう。flask-app プロジェクトで Dockerfile を開けば問題を見ることができるはず。
1
2
3
4
5
6
7
|
FROM public.ecr.aws/f9e7c7j6/python:3.8.3-wee-optimized-lto
COPY requirements.txt requirements.txt
RUN pip3 install -r requirements.txt
COPY . .
ENV FLASK_APP=app.py
ENV FLASK_ENV=development
CMD ["flask", "run", "--port=5000", "--host=0.0.0.0"]
|
デバッグモードをオフにするには、development から production に FLASK_ENVの値を変更します。
1
2
3
4
5
6
7
|
FROM public.ecr.aws/adelagon/python:3.8.3-wee-optimized-lto
COPY requirements.txt requirements.txt
RUN pip3 install -r requirements.txt
COPY . .
ENV FLASK_APP=app.py
ENV FLASK_ENV=production
CMD ["flask", "run", "--port=5000", "--host=0.0.0.0"]
|