¿Hay alguna manera de configurar Apache para que interrumpa la conexión ante cualquier solicitud que dé como resultado un estado HTTP distinto de 200 (o posiblemente una lista de códigos de estado)? La idea es que, en lugar de devolver información a un hacker que está investigando el servidor, simplemente finalice la conexión cuando se realice una solicitud no válida. Estoy pensando en algo similar a las reglas DROP de iptables, pero en la capa de aplicación.
Me doy cuenta de que esto no sustituiría a otras medidas de seguridad (firewall, proxy inverso, mod_security, control de acceso, páginas de error no predeterminadas, etc.), pero sería una medida adicional.
Respuesta1
Podrías hacer que 403 devuelva una página 404 y un código de estado (¡asegúrate de que sean ambos!), lo que disuadiría a la gente de husmear. Creo que Google y muchos otros sitios grandes hacen esto. Sin embargo, interrumpir la conexión después de un error como este no es útil (e incluso puede ser perjudicial).