Nginx漏洞修复:在应用程序中发现不必要的 Http 响应头

最新推荐文章于 2024-06-04 15:58:35 发布
最新推荐文章于 2024-06-04 15:58:35 发布
阅读量794 收藏 7
点赞数 8
文章标签: nginx http 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31646657/article/details/135265383
版权

文章目录

一、前言

最近拿到一份网站的安全报告,其中有一个漏洞是说“在应用程序中发现不必要的 Http 响应头”,也就是在响应头中出现了下方的信息,有泄漏服务器信息的风险,因此在此记录一下解决过程。
在这里插入图片描述

此问题可以通过给Nginx安装专门的插件来修复,插件地址如下:GitHub - openresty/headers-more-nginx-module: Set, add, and clear arbitrary output headers in NGINX http servers

二、步骤

S1:安装插件

wget 'http://nginx.org/download/nginx-1.17.8.tar.gz'
tar -xzvf nginx-1.17.8.tar.gz
cd nginx-1.17.8/

# Here we assume you would install you nginx under /opt/nginx/.
./configure --prefix=/opt/nginx2 --add-module=/path/to/headers-more-nginx-module

make
sudo make install

S2:测试Nginx配置

➜  ~ /opt/nginx2/sbin/nginx -t
nginx: [alert] could not open error log file: open() "/opt/nginx2/logs/error.log" failed (13: Permission denied)
nginx: the configuration file /opt/nginx2/conf/nginx.conf syntax is ok
2023/12/28 11:56:20 [emerg] 1711176#0: open() "/opt/nginx2/logs/nginx.pid" failed (13: Permission denied)
nginx: configuration file /opt/nginx2/conf/nginx.conf test failed

根据异常提示处理完对应的异常。
S3:增加去除Server的配置

http {
	more_set_headers 'Server: ';
	more_set_headers 'server: ';
}

S4:启动Nginx即可

参考

  1. 漏洞修复:在应用程序中发现不必要的 Http 响应头-CSDN博客
  2. 一台服务器怎么装两个nginx
GDBBader
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本
10-09
亲测好用.nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本,不存在漏洞 nginx-1.13.3 nginx1.13.3 安全稳定 nginx版本
nginx1.21.4.zip
09-16
对于修复漏洞,管理员应检查Nginx的配置,确保没有暴露不必要的信息。例如,避免在HTTP响应显示服务器版本,可以通过在配置文件设置`server_tokens off;`来实现。同时,应保持Nginx和其他相关软件的更新,以...
应用程序发现不必要Http 响应
专注于Java领域开发 关注我 带你玩转Java
06-15 1532
响应包含不必要,这可能会帮助攻击者计划进一步攻击。
隐藏nginx响应的server信息(HTTP服务器版本信息泄漏)
最新发布
jugt的博客
06-04 497
安全审计有时会有漏洞名称 HTTP服务器版本信息泄漏 漏洞描述目标服务器返回的信息包含了Web Server的软件或者版本信息。可以安装 nginx的headers-more-nginx-module模块修改或隐藏响应信息。
HTTP Server类型和版本号 漏洞修复 (nginx 服务)
qq_43893881的博客
05-06 294
备注: 漏洞扫描显示 HTTP Server类型和版本号 漏洞,原来 是 F12 network 请求 header 部 Response Headers 展示 Server: nginx/1.25.3。通过nginx 主配 文件增加配置,隐藏该信息,进行修复。打开Nginx的配置文件(通常是nginx.conf)。
【译】在ASP.Net和IIS删除不必要HTTP响应
weixin_33724570的博客
12-14 298
引入    每次当浏览器向Web服务器发起一个请求的时,都会伴随着一些HTTP的发送.而这些HTTP是用于给Web服务器提供一些额外信息以便于处理请求。比如说吧。如果浏览器支持压缩功能,则浏览器会发送Accept-Encoding HTTP,这样一来服务器便知道浏览器可以使用哪种压缩算法。还有任何在上一次传输服务端设置的cookies也会通过Cookies HTTP来回传到服务器,...
漏洞修复:在应用程序发现不必要Http 响应
CutelittleBo的博客
08-30 2891
nginx server tokens 参数描述:http://nginx.org/en/docs/http/ngx_http_core_module.html#server_tokens。插件地址:https://github.com/openresty/headers-more-nginx-module。记得修改/path/to/headers-more-nginx-module为你下载的插件路径。编译完成后,在nginx.conf参数增加,以移除Server键值对。
漏洞扫描:在应用程序发现不必要Http 响应。解决报错:error: ‘ngx_http_headers_in_t’ has no member named ‘cookies’ ...
lanren312的博客
02-27 1065
nginx1.23.0开始,所有的都以链表的形式返回,而不是数组。v0.34 解决了这个问题。因为我的nginx是1.23.1,所以我用v0.33不行,要用v0.34这个版本。重启nginx: systemctl restart nginx。在浏览器里面就看不到 server: nginx/1.23.1。修改nginx.conf。写到这里,先上错误的截图。修改nginx.conf。再看看正确的处理方法。
解决appscan扫描“下在应用程序发现不必要Http 响应”问题
weixin_58794925的博客
10-13 840
解决appscan扫描“下在应用程序发现不必要Http 响应”问题
nginx-在应用程序发现不必要Http响应
u013008898的博客
02-19 673
nginx-在应用程序发现不必要Http响应
centos7.5离线安装nginx1.17.8全套包.zip
11-12
- 为了服务器安全,务必修改默认的Nginx配置,避免对外暴露不必要的信息,如`server_tokens off`可隐藏Nginx版本信息。 - 定期更新Nginx到最新版本,以修复可能的安全漏洞。 了解Nginx的基本概念也很重要: - **...
Maven+Spring+SpringMVC+Mybatis+Shiro框架搭建工程
02-04
仅仅是一个Spring+SpringMVC+Mybatis+Shiro框架搭建工程,应该下载下来即用,对于初学者不会搭建的应该有用,相关配置查看配置文件即可,有详细说明。
尚硅谷《尚品甄选》项目前端部署到nginx服务
03-28
在整个过程,安全措施也很重要,比如限制服务器对不必要的端口的访问,使用HTTPS提供安全连接,以及定期更新Nginx修复可能的安全漏洞。 通过这个过程,"尚硅谷《尚品甄选》"项目的前端应用就能在Nginx服务器上...
linux版本nginx1.8.1
04-06
Nginx以其反向代理、负载均衡和静态文件处理能力而闻名,是许多网站和应用程序背后的基石。在这个版本Nginx优化了性能并修复了一些已知问题,使其成为当时广泛采用的服务器软件之一。 首先,让我们深入了解...
nginx性能与调优
10-09
8. **定期维护**: 定期更新Nginx到最新稳定版本,修复安全漏洞,提升性能。 ### 三、Nginx基本配置与优化 配置文件`nginx.conf`是Nginx的核心,包含了全局块、events块、http块、server块和location块等。通过合理...
移除http响应的多余的(X-AspNet-Version,Server等)
weixin_34237596的博客
11-17 179
网上搜索出很多方法了,这里记录一下: 如果是asp.net mvc的话还得在global.ascx加入: 至于移除Server,按网上的写法写httpmoudle后发现无效的,最后还是用了微软官方的UrlScan工具,搜索下载安装后在 C:WindowsSystem32inetsrvurlscan 里有个UrlScan.ini文件,需要用管理员的权限打开,我的方法是进...
删除不需要的 HTTP 响应 Server:Microsoft-IIS/7.5 X-Powered-By:ASP.NET
小广龙
04-20 6484
移除iis敏感响应信息 Server、X-Powered-By、X-AspNet-Version
nginx解决不必要Http 响应漏洞(自定义server信息及隐藏版本号)
weixin_43872895的博客
05-10 2885
nginx解决不必要Http 响应漏洞(自定义server信息及隐藏版本号)
nginxHTTP响应添加Content-Security-Policy
11-16
可以通过修改nginx配置文件,在HTTP响应添加Content-Security-Policy。具体步骤如下: 1. 打开nginx配置文件,一般在/etc/nginx/nginx.conf。 2. 在http添加以下内容: ```nginx add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';"; ``` 其,Content-Security-Policy的值是一个策略集,用于指定允许加载哪些资源。上述策略集,default-src 'self'表示默认只允许加载同源资源,script-src 'self' 'unsafe-inline' 'unsafe-eval'表示允许加载同源脚本、内联脚本和eval脚本,img-src 'self' data:表示允许加载同源图片和data URL图片,style-src 'self' 'unsafe-inline'表示允许加载同源样式和内联样式。 3. 保存配置文件并重启nginx服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值