apache隐藏PHP版本号,apache隐藏版本号

最新推荐文章于 2023-05-31 18:30:00 发布
最新推荐文章于 2023-05-31 18:30:00 发布
阅读量374 收藏 1
点赞数
文章标签: apache隐藏PHP版本号

一般情况下,软件的漏洞信息和特定版本是相关的,因此,软件的版本号对攻击者来说是很有价值的。

在默认情况下,系统会把Apache版本模块都显示出来(http返回头信息)。如果列举目录的话,会显示域名信息(文件列表正文),如:

[root@localhost conf]# curl -I 192.168.146.188

HTTP/1.1 200 OK

Date: Tue, 30 Aug 2011 09:17:42 GMT

Server: Apache/2.2.4 (Unix) PHP/5.2.6

Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT

ETag: "be0533-2c-3e9564c23b600"

Accept-Ranges: bytes

Content-Length: 44

Content-Type: text/html

隐藏方法:

1、隐藏Apache版本号的方法是修改Apache的配置文件,如RedHat系的Linux默认是:

vim /etc/httpd/conf/httpd.conf

分别搜索关键字ServerTokens和ServerSignature,修改:

ServerTokens OS 修改为 ServerTokens ProductOnly

ServerSignature On 修改为 ServerSignature Off

2、重启或重新加载Apache就可以了。

apachectl restart

测试一下,如下:

[root@localhost conf]# curl -I 192.168.146.188

HTTP/1.1 200 OK

Date: Tue, 30 Aug 2011 09:17:58 GMT

Server: Apache

Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT

ETag: "be0533-2c-3e9564c23b600"

Accept-Ranges: bytes

Content-Length: 44

Content-Type: text/html

版本号与操作系统信息已经隐藏了。

3、上面的方法是默认情况下安装的Apache,如果是编译安装的,还可以用修改源码编译的方法:

进入Apache的源码目录下的include目录,然后编辑ap_release.h这个文件,你会看到有如下变量:

#define AP_SERVER_BASEVENDOR “Apache Software Foundation”

#define AP_SERVER_BASEPROJECT “Apache HTTP Server”

#define AP_SERVER_BASEPRODUCT “Apache”

#define AP_SERVER_MAJORVERSION_NUMBER 2

#define AP_SERVER_MINORVERSION_NUMBER 2

#define AP_SERVER_PATCHLEVEL_NUMBER 15

#define AP_SERVER_DEVBUILD_BOOLEAN 0

可以根据自己喜好,修改或隐藏版本号与名字。

没作任何设置前,查看web服务器请求文件头

HTTP/1.1 200 OK

Date: Sun, 27 Apr 2008 11:56:46 GMT

Server: Apache/2.2.8 (Unix) DAV/2 PHP/5.2.5 with Suhosin-Patch

Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT

ETag: "387a5-2c-3e9564c23b600"

Accept-Ranges: bytes

Content-Length: 44

Content-Type: text/html

几乎把web服务器详细信息都暴出来了,如果没个版本的apache和php爆出严重漏洞,

会给攻击者提供最有攻击价值的安全信息,这是非常危险的

将apache的配置文件加上两行

ServerTokens ProductOnly

ServerSignature Off

重启apache让设置生效

再次发出apache头信息请求

HTTP/1.1 200 OK

Date: Sun, 27 Apr 2008 11:57:40 GMT

Server: Apache

Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT

ETag: "387a5-2c-3e9564c23b600"

Accept-Ranges: bytes

Content-Length: 44

Content-Type: text/html

可以看到apache版本号于已经没有了

做到这点,我们还可以改变apache的版本,这就要修改apache的源代码了

,在apache的源码包中找到ap_release.h将

#define AP_SERVER_BASEPRODUCT "Apache"

修改为

#define AP_SERVER_BASEPRODUCT "Microsoft-IIS/5.0”

或者

#define AP_SERVER_BASEPRODUCT "Microsoft-IIS/6.0”

然后找到os/unix下的os.h文件,将其

#define PLATFORM "Unix"

修改为

#define PLATFORM "Win32“

然后重新编译,安装apache。

最后修改httpd.conf配置文件,添加两行

ServerTokens Prod

ServerSignature Off

在发送头请求,会有什么,就不用我说了吧,嘿嘿,这叫偷天换日,

从这点来说,php也是一样,同样可以通过这种方式改变一些系统信息,不过根据

GPL开源的精神,这样做貌似不太好,还是保留apache和php版权信息吧。

附:

ServerSignature 三个选项

On|Off|EMai 主要起开关作用

ServerTokens 四个选项

Minimal|ProductOnly|OS|Full 四个选项隐藏信息依次增加

民科心中的物理
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
apache隐藏版本号信息和关闭trace方法
06-20
apache隐藏版本号信息和关闭trace方法
PHP+Apache环境中如何隐藏Apache版本
10-18
PHP+Apache服务器环境为例,给大家讲解如何能够隐藏Apache版本号以及具体做法。
隐藏服务器基本信息,隐藏Apache的服务器配置信息
weixin_31559919的博客
08-13 722
>ServerTokens ProductOnly 和 ServerSignature Off 微调 Apache 的返回信息apache 的 httpd.conf 有两个配置可以控制是否显示服务器信息给用户ServerTokensServerSignature默认条件下会把apache版本 系统 模块都显示出来 (HTTP 返回头)还有如果列举目录的话 会显示域名信息(文件列表正文)(ht...
服务器提供图片获取网页避免路暴露,尽量少暴露服务器信息
weixin_35734296的博客
08-03 164
Apache/2.2.15 (CentOS) DAV/2 PHP/5.4.36 Server at 117.40.239.9 Port 80#学院Linux服务器环境有时候为了服务器的安全需要尽量少地暴露相关信息,防止用户窥视我们的服务器,应该做一些什么呢?例如:Apache的配置,主要是对“httpd.conf”文件配置,通过控制ServerTokens和ServerSignature这2个阀门...
版本号隐藏
shardy0的博客
04-01 854
一般情况下,软件的漏洞信息和特定版本是相关的,因此,软件的版本号对攻击者来说是很有价值的。 在默认情况下,Apache Httpd 系统会把Apache版本模块都显示出来(http返回头信息)。如果列举目录的话,会显示域名信息,服务器版本号,操作系统类型等。 隐藏Apache版本号的方法是修改Apache的配置文件: vim /etc/httpd/conf/httpd.conf 返回...
如何隐藏 Apache版本号和操作系统信息
学海无涯苦作舟的博客
09-19 2161
Apache 是最流行的 Web 服务器之一,但它的默认配置在许多 Linux 发行版中包含有问题的选择。Apache 倾向于宣传其特定版本和运行它的平台,这些信息可能对攻击者有价值。这篇快速文章将向您展示如何禁用此输出以帮助保护您的服务器。通常没有理由让它处于活动状态,关闭它应该只需要一分钟。这是显示目录索引的全新 Apache 2.4 安装:该页面的页脚显示您的服务器的 Apache 版本代码、操作系统名称以及内部 IP 地址和端口号。这些是潜在的敏感细节。
隐藏Nginx或Apache以及PHP版本号的方法
12-18
首先会”踩点”, 这里的”踩点”,指的是了解服务器中运行的一些服务的详细情况,比如说:版本号,当黑客知道相应服务的版本号后,就可以寻找该服务相应版本的一些漏洞来入侵,攻击,所以我们需要隐藏这些版本号来避免一些...
LAMP架构调优(一)——隐藏Apache版本信息
永远是少年
01-22 1395
今天继续给大家介绍Linux运维相关知识,本文主要内容是LAMP架构调优。 一、Apache版本信息简介 二、修改Apache版本信息 三、修改服务器信息
隐藏Apache版本号及其它敏感信息
YHJ
06-09 1576
安装完apache一般第一时间都是关闭apache的版本信息和其他信息,一些黑客会通过apache暴露出来的信息针对性的入侵,为了服务器的安全这些信息一定要及时关闭,配置如下 1.隐藏Apache信息 1.1 主配置中启用httpd-default.conf 1 2 3 # vi /usr/local/apache2/conf/httpd.Conf //找到httpd-default.conf,删除includes前面的“#”,改成如下 ..
apache安全之修改或隐藏版本信息
小渣渣
05-31 1116
平滑重启:/application/apache/bin/apachectl graceful。vi /application/apache/conf/httpd.conf 去掉下面的#注释。检查语法:/application/apache/bin/apachectl -t。查看效果:curl -I 192.168.31.36。修改apache版本信息。隐藏apache版本信息。
Apache服务隐藏版本号
TURING.DT
11-25 2301
安全部门扫描apache漏洞,需要升级apache版本或隐藏版本号。 软件的漏洞信息和特定版本是相关的,因此,软件的版本号对攻击者来说是很有价值。 在默认情况下,Apache Httpd 系统会把Apache版本模块都显示出来(http返回头信息)。如果列举目录的话,会显示域名信息,服务器版本号,操作系统类型等。 隐藏Apache版本号的方法是修改Apache的配置文件: vim /e
【Developer Log】部署安全:隐藏Apache的版本信息
愷风(Wei)的专栏
10-08 2638
Apache - PHP的部署中,Apache响应消息header中的Server带有Apache的版本信息,如下: 这在生产环境中是有潜在危险的,可以被扫描出所使用的版本,如果这个版本具有已知的漏洞,别人很容易进行攻击,因此要隐藏Apache的相关信息。 同样在Apache的错误返回页面中,也包含同样的信息。除了Apache的信息外,还包括ip地址和端口,对于通过Nginx或者代理的生
ServerTokens
weixin_33790053的博客
04-18 213
ServerTokens OS 这个项目在告诉客户端 WWW 服务器的版本与操作系统,不需要更改它。如果您不想告诉太多主机的信息,将这个项目的OS改成Minor即可。嗨嗨!鸟哥的原话。 -------------------------------------------------------------------------- 以下是更详细的...
禁止显示或发送Apache版本号(设置ServerTokens)
wing 的专栏
02-21 1万+
默认地,服务器HTTP响应头会包含apachephp版本号。像下面的,这是有危害的,因为这会让黑客通过知道详细的版本号而发起已知该版本的漏洞攻击。 1.ServerApache/2.2.17 (Unix) PHP/5.3.5 为了阻止这个,需要在httpd.conf设置ServerTokens为Prod,这会在响应头中显示“Server:Apache”而不包含任何的版本信息。
Nginx隐藏响应头信息的Server信息和版本信息
Sirius的博客
05-01 1万+
1、隐藏nginx版本信息在nginx.conf里面加server_tokens off;就可以隐藏版本号。2、隐藏server信息实现方案 : 需要重新编译nginx进入解压出来的nginx 源码 目录(不是nginx的安装目录) vi src/http/ngx_http_header_filter_module.c # 49-50行 编辑:内容: static char ngx_http_se
隐藏apache和tomcat在headers中版本号的方法
weixin_33874713的博客
04-06 283
隐藏apache和tomcat在headers中版本号的方法 apache:http.conf文件中添加ServerTokens ProductOnlyServerSignature Off两行 tomcat:在server.xml中的Connector节点中添加server="wws1.0" ...
隐藏/屏蔽服务器信息与web软件版本信息
shao.bing的专栏
03-09 2691
俗话说的好,不怕偷,就怕被惦记着啊!这名话用到服务器上很适合啊。对于黑客来说,入侵第一步,一般都是先扫描,这些扫描包括服务器的类型,提供服务的软件及版本号,然后针对这些系统或软件的相应漏洞进行入侵。那么如何来隐藏这些信息呢?这就是今天的技术内容。 1、隐藏服务器系统信息 在缺省情况下,当你登陆到linux系统,它会告诉你该linux发行版的名称、版本、内核版本、服务器的名称。为了不让这
httpd.conf 安全配置
热门推荐
单核CPU的小朋友的博客
12-07 3万+
ServerTokens Prod //默认为OS,当其为Prod时,则当用户访问不存在页面时,不显示系统版本号 ServerRoot “/etc/httpd” //用于指定Apache的运行目录,服务启动之后自动将目录改变为当前目录,在后面使用到的所有相对路径都是相对这个目录下 PidFile run/httpd.pid //设定apache守护进程的pid号。 Timeout...
apache3.8.6在中央仓库的版本号
最新发布
06-13
Apache HttpComponents Core (httpcore) 3.1.4 和 Apache HttpComponents Client (httpclient) 3.1.4 是 Apache HttpComponents 3.8.6 版本的核心组件。你可以在 Maven 中央仓库中找到这两个版本的依赖。 你可以在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值