隐藏响应头中Apache、nginx或PHP的版本信息

最新推荐文章于 2024-09-04 09:56:23 发布
最新推荐文章于 2024-09-04 09:56:23 发布
阅读量6.9k 收藏 11
点赞数 4
分类专栏: nginx php 文章标签: apache nginx php 服务器 server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28602957/article/details/54928490
版权
php 同时被 2 个专栏收录
139 篇文章 2 订阅
订阅专栏
nginx
8 篇文章 1 订阅
订阅专栏

默认地,服务器HTTP响应头会包含apache,nginx和php版本号。像下面的,这是有危害的,因为这会让黑客通过知道详细的版本号而发起已知该版本的漏洞攻击。

图示

Apache

为了阻止这个,需要在httpd.conf设置ServerTokens为Prod,这会在响应头中显示“Server:Apache”而不包含任何的版本信息。

下面是ServerTokens的一些可能的赋值:

ServerTokens Prod 显示“Server: Apache”
ServerTokens Major 显示 “Server: Apache/2″
ServerTokens Minor 显示“Server: Apache/2.2″
ServerTokens Min 显示“Server: Apache/2.2.17″
ServerTokens OS 显示 “Server: Apache/2.2.17 (Unix)”
ServerTokens Full 显示 “Server: Apache/2.2.17 (Unix) PHP/5.3.5″

PHP

需要将php.ini中的expose_php = On,改为Off,头信息中将隐藏X-Powered-By:PHP/7.1.0

nginx

1.隐藏版本号:

vi nginx.conf

在http 加上 server_tokens off;

如下:

http {
……省略配置
server_tokens off;   ->即可隐藏版本号
…….省略配置
}

重启nginx后,我们返回的Server头格式为Server:nginx ,而且nginx自己的404页面也没有版本号的信息

2.返回自定义的server
混淆Server信息

我是不太愿意告诉别人我是使用什么Server的,但没有找到相关文献去隐藏它,所以我们可以混淆她,如把Server返回GFW之类的,吓唬吓唬那些脚本小子

大部分情况下,脚本的小子的扫描工具是扫描我们response返回的header中的server信息.我们可以采用编译源码的方法来改变返回的Server,笔者的版本是nginx1.7.0,我们修改src/http/ngx_http_header_filter_module.c 中的48行

   static char ngx_http_server_string[] = "Server: nginx" CRLF;

把其中的nginx改为我们自己想要的文字即可,笔者就改为了YSY. 笔者输出的Server:YSY.(这个前提是你进行了第一个步句的操作,关闭了版本号)

如果你的版本号是开着的,你又想调戏下脚本小子.比如Server:billgate/1.9.0

我们修改src/core/nginx.h 定位到13-14行

   #define NGINX_VERSION      "1.7.0"

   #define NGINX_VER          "nginx/" NGINX_VERSION

Server返回的就是常量NGINX_VER, 我们把NGINX_VERSION大小定义为1.9.0,nginx改为billgate就能达到我们的目的了

diligentyang
关注
专栏目录
nginx修改响应头(可屏蔽后端服务器信息:IIS,PHP等)
weixin_30887919的博客
06-11 3260
修改nginx反向代理请求的Header 需要使用到proxy_set_header和add_header指令。其中: proxy_set_header 来自内置模块ngx_http_proxy_module, 用来重定义发往代理服务器服务器的请求头。参考:https://blog.csdn.net/weixin_41585557/article/details/82426784 示例: ...
隐藏NginxApache以及PHP的版本号的方法
12-18
Nginx中,服务器版本信息默认会在响应头的`Server`字段中显示。为了去除这个信息,你需要编辑Nginx的主配置文件`nginx.conf`。在`http`或者特定的`server`块中添加或修改如下配置: ```nginx server_tokens off...
关于apache隐藏版本号的设置
weixin_34234721的博客
10-20 194
2019独角兽企业重金招聘Python工程师标准>>> ...
nginx隐藏server及版本号
筱long的博客
07-24 572
为了提高nginx服务器的安全性,降低被攻击的风险,需要隐藏nginxserver和版本号。
去除/添加服务器响应头的信息
hibari_18的博客
03-16 2464
0x01 去掉响应头的信息 针对通过响应头判断服务器版本和语言版本的信息泄露漏洞,如何去防护 1.1 php 隐藏 X-Power-By PHP 设置php.ini expose_php = Off 1.2 隐藏server信息 1.2.1 apacheapache/conf/httpd.conf 添加以下代码(我试了试在最后一行添加没有问题) ServerSignature Off Se...
linux隐藏apache信息,Apache防盗链和隐藏版本信息-linux-centos运维
weixin_35064201的博客
05-06 281
有需要服务器方面的需求和咨询,可以联系博主 QQ 7271895一、防盗链二、隐藏版本信息实验要求:三台虚拟机分别是:linux和两台windows虚拟机,linux虚拟机为服务器,Windows7-1为客户端,Windows7-2为盗链端。实验步骤:一、防盗链1.把httpd、apr、apr-util安装包解压缩到/opt目录中tar zxvf apr-1.4.6.tar.gz -C /opt/...
禁用Web服务器HTTP头信息公开 asp.net mvc移除Server, X-Powered-By, 和 X-AspNet-Version、X-AspNetNMvc-Version信息
慢谈人生
11-26 1864
asp.net mvc程序部署到IIS,,返回的HTTP头中包含Server, X-Powered-By, 和 X-AspNet-Version、X-AspNet-Version信息. 这些信息有时给攻击者找寻你的站点漏洞提供的依据. 如下图所示: 1.移除X-AspNet-Version 在webconfig中做如下配置: 2.移除X-AspNetMvc-Version 在Global.asax中做如下配置 3.移除Server 3.1自定义server处理模型: //移..
nginx/apache/php隐藏http头部版本信息的实现方法
09-30
本文将详细介绍如何在NginxApachePHP隐藏HTTP头部的版本信息,以提高服务器的安全性。 1. Nginx 隐藏头部版本信息Nginx 是一款高性能的Web服务器,其配置文件通常位于 `/etc/nginx/nginx.conf`。为了隐藏...
PHPNginxApache中禁止网页被iframe引用的方法
10-25
PHP中,我们可以通过设置HTTP响应头来禁止网页被iframe引用。`X-Frame-Options`头部提供了对页面是否可以在其他页面的iframe中显示的控制。以下是一个简单的示例,设置`DENY`值,完全阻止页面被任何来源的iframe...
nginx+apache+mysql+php+memcached+squid搭建门户网站
12-14
### Nginx+Apache+MySQL+PHP+Memcached+Squid 搭建门户网站 #### 一、前言与架构概述 随着互联网技术的发展,如何构建一个高效、稳定且能够应对高并发访问的Web服务器成为了许多企业和开发者关注的重点。本文将...
存在nginx版本信息泄露(请求头中存在nginx中间件版本信息
最新发布
明静致远
09-04 450
指令来禁止Nginx在错误页面和Server信息中显示版本号。在Nginx配置文件(比如nginx.conf)中,使用。配置完成后,Nginx将不再在HTTP响应的。头信息中包含版本号。
关于web服务器头部的Server与X-Powered-By信息
changjunkui的专栏
01-07 1978
通过工具可以查询到站点服务器信息与程序信息及版本,其实这是通过服务器响应信息里返回的,如果把这些信息暴露出去对站点不安全,我们可以通过隐藏或修改头信息的方法来阻止这些信息暴露 头信息包含服务器信息与程序信息 有些查询工具在我们输入某个站点的URL后就能判断这个站点的WebServer与程序类型。 例如在站长工具下guofei.me站点: 查询豆瓣的
隐藏服务器header与web软件版本信息
Enweitech Software Works
01-15 1万+
引入    每次当浏览器向Web服务器发起一个请求的时,都会伴随着一些HTTP头的发送.而这些HTTP头是用于给Web服务器提供一些额外信息以便于处理请求。比如说吧。如果浏览器支持压缩功能,则浏览器会发送Accept-Encoding HTTP头,这样一来服务器便知道浏览器可以使用哪种压缩算法。还有任何在上一次传输中服务端设置的cookies也会通过Cookies HTTP头来回传到服务器,浏览...
Nginx源码出发-隐藏响应头的Server版本号等信息
who7708的专栏
01-28 1896
需求 当我们使用http/https请求时, nginx 会在请求的response里面的header加入Server: nginx:1.18 信息, 如果可以隐藏, 就不会被别人知道, 我用的是哪款web服务器, 或哪个版本. 例如 新浪网: Server: nginx / Server: WeiBo/LB 开源中国: Server:Tengine / server: marco/2.13 segmentfault 没有返回Server!/ server: Tengine 修改 nginx
Nginx隐藏响应信息Server信息版本信息,隐藏tomcat版本号
xujing_2017的博客
01-21 1万+
https://gofinall.com/72.html   背景 当使用nginx做为web服务器时,在头部信息会看到版本号相关的信息,在安全扫描的时候会扫出来,要求不能显示nginx版本,避免根据已知的版本的nginx的特有漏洞从漏洞信息中获取该版本的攻击方式并进行攻击。 修改方法 nginx版本:1.14.2 隐藏nginx版本信息nginx.conf的http里面加serv...
nginx隐藏响应server信息和版本号信息
热门推荐
苏不轼的博客
08-18 1万+
如果暴露了服务版本等详细信息,攻击者可以利用这些信息实现更有目的性的攻击,所以我们需要进行隐藏版本号等信息
隐藏响应中的server和X-Powered-By
滴水石穿
10-05 800
有时候,我们用调试工具查看别人的网站时,经常看到 X-Powered-By:PHP/7.1.8 这样的一行和 Server:Apache/2.4.27 (Win32) OpenSSL/1.0.2l PHP/7.1.8 这样的一行。这时候,我们就可以判断当前网站是在 Windows 系统, Apache服务下,编程语言为 php。这样就暴露了很多信息,对于网站来说是不安全的。利用上面的方法,可以将 X-Powered-By 隐藏掉,也可以直接修改 View.class.php 文件。
检测到错误页面web应用服务器版本信息泄露
lxyoucan的博客
07-14 2398
Web服务器未能正确处理异常请求导致Web服务器版本信息泄露,攻击者收集到服务器信息后可进行进一步针对性攻击。
黑客攻防技术宝典Web实战篇第2版—第3章 Web应用程序技术
渣渣
07-20 1240
3.1 HTTP 3.1.1 HTTP请求 1、所有HTTP消息(请求与响应)中都包含一个或几个单行显示的消息头,然后是一个空白行,最后是消息主体(可选)。 2、每个HTTP请求的第一行由三部分组成 ①说明HTTP方法的动词,例如 get post ②所请求的URL ③使用HTTP的版本 3、其他要点 ①Referer消息头表示发出请求的原始URL。 ②User-Agent消息头...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值