🔒 Module 20
3

Faille 2 — Les headers HTTP bavards

Leçon 3 / 7 — 30 min

« L'art suprême de la guerre est de soumettre l'ennemi sans combattre. »

S

Sun Tzu

Le Stratège · Ve siècle av. J.-C.

Par défaut, Apache annonce sa version exacte (Apache/2.4.65), PHP la sienne (X-Powered-By: PHP/8.1.33), et PrestaShop ajoute parfois ses propres headers. Chaque information est une munition pour un attaquant qui cherche des CVE connues. Les headers de sécurité manquants (HSTS, CSP, X-Frame-Options) laissent la porte ouverte au clickjacking et aux injections de scripts.

A retenir : Masquez Server et X-Powered-By. Ajoutez HSTS, CSP, X-Frame-Options, X-Content-Type-Options.

Questions & Answers

A question about this lesson? The AI replies automatically.

Your questions and the AI's answers are public and enrich the course for everyone. Your email is used only for authentication (legal basis: legitimate interest, retention: 3 years). Privacy policy.