Par défaut, Apache annonce sa version exacte (Apache/2.4.65), PHP la sienne (X-Powered-By: PHP/8.1.33), et PrestaShop ajoute parfois ses propres headers. Chaque information est une munition pour un attaquant qui cherche des CVE connues. Les headers de sécurité manquants (HSTS, CSP, X-Frame-Options) laissent la porte ouverte au clickjacking et aux injections de scripts.
« L'art suprême de la guerre est de soumettre l'ennemi sans combattre. »
A retenir : Masquez Server et X-Powered-By. Ajoutez HSTS, CSP, X-Frame-Options, X-Content-Type-Options.
Questions & Réponses
Une question sur cette leçon ? L'IA répond automatiquement.
Vos questions et les réponses IA sont publiques et enrichissent le cours pour tous. Votre email est utilisé uniquement pour l'authentification (base légale : intérêt légitime, durée : 3 ans). Politique de confidentialité.