Par défaut, Apache annonce sa version exacte (Apache/2.4.65), PHP la sienne (X-Powered-By: PHP/8.1.33), et PrestaShop ajoute parfois ses propres headers. Chaque information est une munition pour un attaquant qui cherche des CVE connues. Les headers de sécurité manquants (HSTS, CSP, X-Frame-Options) laissent la porte ouverte au clickjacking et aux injections de scripts.
« L'art suprême de la guerre est de soumettre l'ennemi sans combattre. »
A retenir : Masquez Server et X-Powered-By. Ajoutez HSTS, CSP, X-Frame-Options, X-Content-Type-Options.
Questions & Answers
A question about this lesson? The AI replies automatically.
Your questions and the AI's answers are public and enrich the course for everyone. Your email is used only for authentication (legal basis: legitimate interest, retention: 3 years). Privacy policy.