http请求隐藏server中的nginx版本信息

已于 2023-11-09 15:05:32 修改
阅读量797 收藏 1
点赞数
分类专栏: 运维 文章标签: http nginx 网络协议
于 2023-11-09 15:02:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssnnyyjj/article/details/134310053
版权

项目场景:请求响应暴露Nginx版本信息

可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置

问题描述

AppScan漏洞扫描提示在应用程序中发现不必要的Http响应头,要求修改 Web 服务器的 HTTP 标头,使其不泄露有关基础 Web 服务器的详细信息

在这里插入图片描述

解决方案:

修复漏洞,将http请求头中的"Server:nginx"隐藏掉,需要用到headers-more-nginx-module模块。

以下所有操作适配环境:Linux环境

第一步:nginx安装headers-more-nginx-module模块
第二步:下载nginx源码,这里需要下载和你使用的 nginx 同版本的原始码

查看版本命令

$ nginx -v

在这里插入图片描述

##知道版本后可以下载了,此处以nginx-1.22.0为例
$ curl -O http://nginx.org/download/nginx-1.20.0.tar.gz
##然后解压
$ tar -xzf nginx-1.20.0.tar.gz

第三步:下载 headers-more-nginx-module 源码

##下载headers模块源码
$ wget https://github.com/openresty/headers-more-nginx-module/archive/refs/tags/v0.34.tar.gz 
##解压
$ tar xf v0.34.tar.gz
##查看结果
$ ls

第四步,修改配置参数


##进入nginx目录
$ cd /usr/local/nginx/nginx-1.22.0
## 配置参数(根据真实的目录配置)
$ ./configure --add-dynamic-module=/usr/local/headers-more-nginx-module-0.34/(headers-more-nginx-module解压路径)--prefix=/usr/local/nginx(nginx所在目录) --with-http_stub_status_module --with-http_ssl_module

第五步,重新编译

$ make && make install 
## 确认编译结果
$ echo $?

在这里插入图片描述

## 编译完成后,会在nginx源码的objs目录,生成我们编译好的动态模块文件
$ ls /usr/local/nginx/nginx-1.22.0/objs

第六步,使用模块,验证nginx http请求头是否被隐藏
nginx目录下新建目录,用于存放模块

## 新建目录
$ mkdir /etc/nginx/conf.d/modules
## 复制
$  cp /usr/local/nginx/nginx-1.22.0/objs/ngx_http_headers_more_filter_module.so /etc/nginx/conf.d/modules/

第七步,修改nginx配置文件

##主配置中增加
load_module /etc/nginx/conf.d/modules/ngx_http_headers_more_filter_module.so;
## 项目里面增加
more_set_headers "Server: singless"; 
## 如下图

在这里插入图片描述
在这里插入图片描述

第八步,重启nginx

### 进入nginx目录
$ cd /usr/local/nginx/sbin
## 重启
$ ./nginx -s reload

在这里插入图片描述

重启nginx时遇到了报错,配置项有问题,
[root@localhost sbin]# ./nginx -s reload
nginx: [emerg] module “/usr/local/nginx/nginx-1.22.0/objs/ngx_http_headers_more_filter_module.so” is not binary compatible in /usr/local/nginx/conf/nginx.conf:10

解决:添加安装(这一步不一定能遇到,遇到问题针对具体问题再单独解决)
如与上述问题一致,可执行

$ yum install -y wget perl-ExtUtils-Embed readline-devel zlib-devel pam-devel libxml2-devel libxslt-devel gd-devel GeoIP-devel autoconf-2.69-11.el7.noarch gcc libxml2 libxml2-dev openldap-devel python-devel gcc-c++  openssl-devel cmakepcre-develnanowget  gcc gcc-c++ ncurses-devel perl pcre-devel libtool libsysfs automake openssl openssl-devel redhat-rpm-config.noarch unzip libmaxminddb libunwind.x86_64  -y

执行完上述命令再重启nginx,此时再请求响应头中的server已变成自定义的了!

在这里插入图片描述

奋斗的小岛ssnnyy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何隐藏nginxServer版本信息
猿小白的博客
09-11 3392
需求:将nginxServer信息隐藏掉。 解决方法: 只需要在nginx.confhttp模块加入以下代码即可。 server_tokens off; 然后编辑保存,重启nginx即可。 如果你的需求比较特殊,可能需要同时将nginx隐藏或修改。 目前,网上所能找到的解决方案,都是修改nginx源码来达到目的。 ...
windows下nginx隐藏HTTP 请求头文件Server信息
明平姚的博客
12-16 1996
windows下nginx隐藏HTTP 请求头文件
Nginx去掉返回头Server和X-Application-Context
u011447905的专栏
08-09 3975
方式如下: 在nginx.confhttp下加入两行代码即可: server_tokens off; proxy_hide_header X-Application-Context; 同理,如果需要不展示其他的响应头属性,添加proxy_hide_header即可。
http server类型和版本号_nginx 简单隐藏服务器版本号
weixin_30068505的博客
01-04 924
安全优化-隐藏版本号server_tokensSyntax: server_tokens on | off | build | string;Default: server_tokens on;Context: http, server, location在主配置文件nginx.conf、虚拟主机的配置文件配置,选一个配置即可官方文档地址:http://nginx.org/en/docs/htt...
Nginx隐藏server头信息如何实现
xiaoweids的博客
07-17 1094
本文主要介绍了Nginx隐藏server头信息的实现,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着微点阅读小编来一起学习学习吧。
响应包出现ServerNginx/1.21.3解决问题(代理版本泄漏)
黑剑
08-30 865
请注意,这个设置将影响所有的Nginx响应,不仅限于特定的URL或路径。这将禁用在HTTP响应包含Nginx的版本号。在Nginx的配置文件添加以下指令,以移除。在Nginx配置文件的。移除HTTP响应的。
隐藏nginx响应头server信息(HTTP服务器版本信息泄漏)
最新发布
jugt的博客
06-04 384
安全审计有时会有漏洞名称 HTTP服务器版本信息泄漏 漏洞描述目标服务器返回的信息头包含了Web Server的软件或者版本信息。可以安装 nginxheaders-more-nginx-module模块修改或隐藏响应头信息。
Nginx隐藏服务器端各类信息的方法
09-30
主要介绍了Nginx隐藏服务器端各类信息的方法,包括隐藏HTTP头信息和PHP版本号等等,需要的朋友可以参考下
nginx平滑升级及隐藏server信息
shufusheng的博客
07-30 1017
nginx升级
nginx解决不必要的 Http 响应头漏洞(自定义server信息及隐藏版本号)
weixin_43872895的博客
05-10 2858
nginx解决不必要的 Http 响应头漏洞(自定义server信息及隐藏版本号)
修改nginx服务器类型实现简单伪装(隐藏nginx类型与版本等)
09-30
主要介绍了修改nginx服务器类型实现简单伪装(隐藏nginx类型与版本等),需要的朋友可以参考下
nginx1.17.4版本因安全要求隐藏server名称后的源码
04-04
内容概要:nginx1.17.4版本因安全相关要求需要隐藏server名称,将源代码进行修改得到此资源文件,可以直接使用。 适用人群:使用nginx部署项目的人员,nginx需要隐藏server名称的人员。 使用方法:直接下载此资源,然后上传到服务器,编译安装即可。通过浏览器访问资源,F12查看请求头信息,server用户名称由原来的nginx加版本号变更为:pupupu。
nginx 隐藏版本号与WEB服务器信息的解决方法
09-30
本篇文章将详细介绍如何在Nginx隐藏版本号并自定义Web服务器信息,以增强系统的安全性。 首先,我们需要获取Nginx的最新稳定版本。通过官方下载地址(例如:`http://nginx.org/download/nginx-1.14.1.tar.gz`)...
Nginx配置PATHINFO隐藏thinkphp index.php
09-30
首先,我们需要在Nginx的配置文件(通常位于`/etc/nginx/nginx.conf`或`/etc/nginx/sites-available/default`)添加或修改相应的server块。以下是一个示例配置: ```nginx server { listen 80; # 监听80端口 ...
简单谈谈Nginx基础知识入门
09-30
Nginx的配置文件(nginx.conf)通常包含多个server块,每个server块代表一个独立的监听端口或虚拟主机配置,而location块则用于处理特定URL的请求。 总之,Nginx的基础知识涵盖了配置静态文件服务器、反向代理、...
Nginx面试专题及答案_63321
08-03
在实际应用,二者常常配合使用,Apache处理动态请求,Nginx负责静态资源和反向代理。 处理HTTP请求时,Nginx会监听指定端口,接收客户端的连接。主进程负责管理worker进程,worker进程实际处理请求。当收到请求时...
如何隐藏响应头nginx版本号
weixin_45439379的博客
12-12 469
隐藏响应头nginx版本号
nginx隐藏php头信息,隐藏nginx响应头,修改nginx返回头信息,隐藏php版本号,隐藏服务器信息...
weixin_35686326的博客
03-24 449
隐藏服务器信息可以让服务器更加的安全,响应头隐藏nginx版本号 隐藏php信息尤为重要,本例分别介绍了隐藏nginx响应头信息,隐藏php返回头信息。首先隐藏nginx版本信息,只需编辑 nginx.conf 文件添加一行server_tokens off;http {????include??????/etc/nginx/mime.types;????default_type? appli...
Nginx隐藏响应头信息的Server信息和版本信息,隐藏tomcat版本号
xujing_2017的博客
01-21 9926
https://gofinall.com/72.html   背景 当使用nginx做为web服务器时,在头部信息会看到版本号相关的信息,在安全扫描的时候会扫出来,要求不能显示nginx版本,避免根据已知的版本的nginx的特有漏洞从漏洞信息获取该版本的攻击方式并进行攻击。 修改方法 nginx版本:1.14.2 隐藏nginx版本信息nginx.conf的http里面加serv...
nginx检测到隐藏目录_Nginx安全配置
06-08
Nginx 安全配置是保护 Web 服务器免受攻击的关键部分之一。以下是一些常用的 Nginx 安全配置: 1. 禁用不安全的 HTTP 方法:Nginx 默认允许所有 HTTP 方法,包括不安全的方法如 PUT、DELETE、TRACE 等,应该禁用这些方法,只允许常用的 GET 和 POST 方法。 ``` if ($request_method !~ ^(GET|POST)$ ) { return 405; } ``` 2. 关闭服务器信息泄露:Nginx 默认会在响应头包含服务器信息,如 Server,可以通过以下指令来关闭: ``` server_tokens off; ``` 3. 限制请求体大小:限制请求体大小可以防止攻击者通过 POST 请求发送大量数据来耗尽服务器资源。 ``` client_max_body_size 10m; ``` 4. 防止目录穿越攻击:通过配置 Nginx,可以防止攻击者通过修改 URL 跳出 Web 根目录访问其他目录。 ``` location / { root /var/www; index index.html index.htm; if (!-e $request_filename) { return 404; } } ``` 5. 防止文件包含漏洞:如果 PHP 应用程序没有正确过滤用户输入,可能会导致文件包含漏洞。可以通过配置 Nginx,禁用 PHP 的文件包含功能来防止这种漏洞。 ``` location ~ \.php$ { fastcgi_pass 127.0.0.1:9000; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info; fastcgi_param PHP_VALUE "auto_prepend_file=/dev/null \n auto_append_file=/dev/null"; } ``` 这些配置可以帮助保护 Nginx 服务器,但并不能完全防止所有攻击。安全配置应该根据具体情况进行调整和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值