去除/添加服务器响应头的信息

最新推荐文章于 2024-05-29 09:55:41 发布
最新推荐文章于 2024-05-29 09:55:41 发布
阅读量2.4k 收藏 3
点赞数
分类专栏: 安全运维?
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hibari_18/article/details/104904387
版权

0x01 去掉响应头的信息

针对通过响应头判断服务器版本和语言版本的信息泄露漏洞,如何去防护

1.1 php 隐藏 X-Power-By

PHP 设置php.ini

expose_php = Off

1.2 隐藏server信息

1.2.1 apache

在apache/conf/httpd.conf 添加以下代码(我试了试在最后一行添加没有问题)

ServerSignature Off 
ServerTokens Prod

1.2.2 nginx

修改nginx.conf 在http里面设置

server_tokens off;

1.2.3 iis

适用版本7 7.5 8 8.5 10。如果修改6版本要下载urlscan,太老了先不管了。
下载URL Rewrite,https://www.iis.net/downloads/microsoft/url-rewrite 直接安装。
在C:\Windows\System32\inetsrv\config\applicationHost.config的system.webServer节点内添加如下代码:

<rewrite>
        <allowedServerVariables>
                <add name="REMOTE_ADDR" />
        </allowedServerVariables>            
        <outboundRules>
                <rule name="REMOVE_RESPONSE_SERVER">
                    <match serverVariable="RESPONSE_SERVER" pattern=".*" />
                    <action type="Rewrite" />
                </rule>
        </outboundRules>
</rewrite>

0x02 添加响应头的信息

2.1 添加X-Frame-Options头

针对缺少安全配置的X-Frame-Options漏洞,可以防钓鱼之类的攻击,一般设置成SAMEORIGIN或者DENY都可以

2.1.1 Apache:

在httpd.conf中修改如下内容,
确认LoadModule headers_module modules/mod_headers.so没有被注释掉,添加以下代码(我试了试在最后一行添加没有问题):

<IfModule headers_module>
Header always append X-Frame-Options SAMEORIGIN
</IfModules>

2.1.2 Nginx

add_header X-Frame-Options SAMEORIGIN;

2.1.3 iis

iis7,打开internet信息服务IIS管理器,单击目标站点,右侧打开HTTP响应标头,添加,名称为X-Frame-Options,值为SAMEORIGIN。不用重启。

做安全的变成搞运维的了,也是没谁了,哎~~
看看还能出啥问题,劳资环境搭好了,谁也不怕!

hibari_18
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx修改响应(可屏蔽后端服务器信息:IIS,PHP等)
weixin_30887919的博客
06-11 3251
修改nginx反向代理请求的Header 需要使用到proxy_set_header和add_header指令。其中: proxy_set_header 来自内置模块ngx_http_proxy_module, 用来重定义发往代理服务器服务器的请求。参考:https://blog.csdn.net/weixin_41585557/article/details/82426784 示例: ...
隐藏响应中Apache、nginx或PHP的版本信息
杨森源的博客
02-08 6851
默认地,服务器HTTP响应会包含apache,nginx和php版本号。像下面的,这是有危害的,因为这会让黑客通过知道详细的版本号而发起已知该版本的漏洞攻击。Apache为了阻止这个,需要在httpd.conf设置ServerTokens为Prod,这会在响应中显示“Server:Apache”而不包含任何的版本信息。下面是ServerTokens的一些可能的赋值:ServerTokens Pr
删除不需要的 HTTP 响应 Server:Microsoft-IIS/7.5 X-Powered-By:ASP.NET
小广龙
04-20 6563
移除iis敏感响应信息 Server、X-Powered-By、X-AspNet-Version
nginx去除server响应的方法
最新发布
oYiNianChengMo的博客
05-29 683
nginx响应、server响应
nginx隐藏响应server信息和版本号信息
热门推荐
苏不轼的博客
08-18 1万+
如果暴露了服务版本等详细信息,攻击者可以利用这些信息实现更有目的性的攻击,所以我们需要进行隐藏版本号等信息
伪装Apache服务器的名称(修改HTTP响应Server的名称)
经验之谈,不做搬运工
07-04 2918
伪装Apache服务器的名称(修改HTTP响应Server的名称)   通过伪装Linux系统,给黑客设置系统假象,可以加大黑客对系统的分析难度,引诱他们步入歧途,从而进一步提高计算机系统的安全性。下面以Red Hat Linux为例,针对几种黑客常用的途径介绍一些常用的Linux系统伪装的方法。   针对HTTP服务   通过分析Web服务器的类型,大致可以...
利用apache的mod_headers模块实现文件缓存
未来可7
11-23 1万+
一.cache-control Cache-Control是http协议1.1中支持的缓存字段,指定请求和响应遵循的缓存机制。 详见rfc2616 14.9(Cache-Control) 其中一个最基础的策略是,在响应中设定: Cache-control: max-age=[secs][secs]是cache在客户端存活的秒数,例如 Cache-control: max-age=1800
负载均衡服务器负载HTTP部改写.pptx
10-12
2. 应答改写则发生在AD设备接收服务器响应之后,但在转发给客户端之前,因此客户端可以看到明显的改写效果。 总的来说,HTTP部改写是负载均衡解决方案中的一个重要组成部分,它能够帮助提升服务的可定制性和安全...
浅谈Okhttp去除请求user-agent
08-28
然而,在某些情况下,我们需要去除请求中的User-Agent信息,以避免服务器端的检测或其他原因。本篇文章将详细介绍如何使用Okhttp去除请求中的User-Agent信息。 首先,我们需要了解什么是User-Agent。User-Agent...
跨域请求 Apache 服务器配置的方法
09-15
配置完成后,当其他域的请求到达Apache服务器时,Apache将会在响应添加`Access-Control-Allow-Origin:*`,这样浏览器就会允许跨域请求。 需要注意的是,`Access-Control-Allow-Origin:*`虽然方便,但可能会带来...
响应式投票评选系统(支持微信)-PHP
06-20
1、导入源码到服务器空间(FTP)本地请导入环境目录 2、导入SQL数据备份文件到数据库 3、配置INDEX.PHP文件为您自己的数据库信息 这样程序就能正常访问了 测试IP:127.0.0.1 后台路径:index.php?c=main&a=login...
缺陷跟踪表附件1
08-08
13. 未去除调试提示:生产环境中不应显示调试信息,需禁用或调整日志级别。 14. 爬虫房价数据不全:可能影响数据分析的全面性,需要优化爬虫策略或数据源。 15. 服务器页面加载慢:用户体验问题,可优化代码、提升...
IIS去除无用的HTTP响应
Mr_ZTQ
03-12 1656
IIS去除无用的HTTP响应最开始的做法遇到的问题解决方案 最开始的做法 修改Web.config配置文件去除X-AspNet-Version、X-Powered-By <system.web> <!--关闭ASP.Net版本号--> <httpRuntime enableVersionHeader="false"/> </system.web> <system.webServer> <httpProtocol&
macbook Apache安装(为了做Perl CGI服务)
charles542307299的博客
12-12 1010
brew安装httpd [192:Downloads sixiaodong$ brew install httpd Error: homebrew-core is a shallow clone. To `brew update` first run: git -C "/usr/local/Homebrew/Library/Taps/homebrew/homebrew-core" fetch --unshallow This restriction has been made on GitHub'.
Apache启用mod_expires&mod_headers实现静态缓存
weixin_33701251的博客
03-25 364
2019独角兽企业重金招聘Python工程师标准>>> ...
Security Headers 安全
moonquake
02-21 1301
1)Content-Security-Policy CSP 内容安全策略 网站通过发送一个 CSP 部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器 2)X-XSS-Protection XSS 攻击防护 0:禁用XSS保护; 1:启用XSS保护; 1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换); 3)X-Frame-Options ...
给apache添加响应Access-Control-Allow-Origin,解决网站跨域问题
qq_25740695的博客
05-12 4439
# 给apache添加响应,解决网站本地调试跨域问题
apache服务器配置响应,Web安全 之 X-Frame-Options响应配置
weixin_39629129的博客
08-13 3353
最近项目处于测试阶段,在安全报告中存在"X-Frame-Options 响应缺失 "问题,显示可能会造成跨帧脚本编制攻击,如下图:X-Frame-Options:值有三个:(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。(3)ALLOW-FROM https://exa...
nginx添加请求字段、apache添加响应字段
07-31 4940
nginx添加请求字段: server{ ...... proxy_set_header MyHeader "test"; ...... }   apache添加响应字段(windows): 修改配置文件httpd.conf 将下面这句话前面的“#”去掉。 LoadModule headers_module modules/mod_headers.so 在配置文件的最后添加...
//连接socketio let socket = io('http://localhost:3000'); /* 登录功能 */ //选择像,在li上注册一个点击事件,加now类 addClass:添加一个类 siblings:移除其他li上的类 $('#login_avatar li').on('click', function () { $(this).addClass('now').siblings().removeClass('now'); }); //点击按钮登录 $('#loginBtn').on('click',function () { //获取用户名,去空格 let username = $('#username').val().trim(); if (!username) { alert('请输入用户名'); return } //获取像 li.now表选中的li attr('src')拿到像具体路径 let avatar = $('#login_avatar li.now img').attr('src'); //和服务器通信,把用户名和像传输到服务器 socket.emit('login',{ username: username, avatar: avatar }); }); //监听登录失败的请求 socket.on('loginError',data=>{ alert('登录失败,用户名已经存在'); }); //监听登录成功的请求 socket.on('loginSuccess',data=>{ alert('登录成功'); });
07-07
这段代码是前端部分,用于实现聊天室的登录功能。它使用Socket.io来连接到服务器,并通过Socket.io的`emit`方法向服务器发送登录请求。 首先,使用`io`函数创建一个Socket.io实例,并传入服务器的URL作为参数。 接下来,定义了一个点击事件处理程序,当用户点击像时,会在当前`li`元素上添加一个`now`类,并移除其他`li`元素上的`now`类。这样可以实现选择像的功能。 然后,定义了一个点击事件处理程序,当用户点击登录按钮时,会执行该处理程序。首先获取输入框中的用户名,并去除首尾的空格。如果用户名为空,则弹出提示框并返回。接着,获取选中像的路径。最后,使用`socket.emit`方法向服务器发送一个名为"login"的事件,并传递用户名和像作为数据。 接着,使用`socket.on`方法监听来自服务器的"loginError"事件,并在回调函数中弹出提示框,显示登录失败的消息。 最后,使用`socket.on`方法监听来自服务器的"loginSuccess"事件,并在回调函数中弹出提示框,显示登录成功的消息。 这段代码实现了聊天室的登录功能,并与服务器进行了交互。根据服务器响应,可以弹出不同的提示框显示登录成功或失败的消息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值