ServerSignature Off
TraceEnable Off
php 配置
expose_php = Off
Apache不显示服务器头信息
当使用一些查看服务器头信息(Server header)的工具,也能够详细显示出服务器的Server信息,类似如下
Date: Thu, 22 Sep 2011 06:11:20 GMT
Server: Apache/2.2.14 (Ubuntu)
Last-Modified: Thu, 22 Sep 2011 04:33:04 GMT
Etag: "5a503ce-4c41-4ad803043a000"
Accept-Ranges: bytes
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 6493
Content-Type: text/html
如何关闭这些显示呢?
ServerSignature Off
ServerTokens Prod
其中,ServerSignature Off告诉Apache在错误页(HTTP Status
404之类)不显示服务器版本信息,但此选项不影响可正常访问的页面(HTTP Status 200之类)。正常访问网页的Server
Header里面依然有服务器版本信息。
ServerTokens Prod告诉Apache在服务器头信息中(Server
Header)中只返回Apache,不返回服务器操作系统与Apache的版本信息。
配置保存后,重启Apache就可以了
PHP默认还会显示X-Powered-By: PHP/5.2.1,可在php.ini中增加或修改 expose_php = Off
来关闭显示
如何关闭http Methods中的Trace 提高安全意识
使用Nikto测试服务器,发现HTTP开启了trace方法。
TRACE和TRACK是用来调试web服务器连接的HTTP方式。
支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。
攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。
解决: 禁用这些方式。
在配置文件http.conf 添加 TraceEnable off 即可关闭。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
