漏洞扫描:在应用程序中发现不必要的 Http 响应头

最新推荐文章于 2024-07-18 17:05:27 发布
最新推荐文章于 2024-07-18 17:05:27 发布
阅读量930 收藏 14
点赞数 25
文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54891723/article/details/139595734
版权

在配置文件中增加: more_clear_headers 'Server';可以去掉Nginx

server{

    server_tokens off;
    more_clear_headers 'Server';

}

------

nginx 中要配置more_clear_headers 'Server'需要安装headers-more-nginx-module模块。

如何安装headers-more-nginx-module模块:

(1)需要安装nginx源码

      1.nginx -v  查看你的nginx版本

      2.nginx: download    下载对应版本的nginx

      3.上传到Linux上面解压:tar -zxvf   xxx.tar.gz

(2)需要安装headers-more-nginx-module模块源码

       1.Tags · openresty/headers-more-nginx-module · GitHub 下载源码

        2.解压:tar -zxvf xxx.tar.gz

注意:我nginx 1.22.1    对应headers-more-nginx-module版本是0.33

               nginx 1.24.1    对应headers-more-nginx-module版本是0.34

(3)进入nginx源码路径下面重新编译nginx,获取到nginx编译后的二进制文件

          1.创建一个nginx目录(编译后的nginx源码要放到这个文件下面)

          

       2.cd  nginx 的解压目录下

       3.编译nginx  

./configure --prefix=/home/tomcat/nginx --with-http_stub_status_module --with-http_ssl_module --add-module=/home/tomcat/nginx/headers-more-nginx-module 

make

make install

编译成功后需要依次执行make和make install命令。

如果是编译失败,可能是需要某些环境没有安装:

可以依次执行:

yum install gcc-c++
 

yum install -y pcre pcre-devel
 

yum install -y zlib zlib-devel
 

yum install -y openssl openssl-devel

(4)停掉nginx,然后替换nginx二进制文件

        1.sudo systemctl stop nginx   ---停掉nginx

        2.备份原先的二进制文件

        which nginx

         cp  /原先的二进制文件路径下面/nginx   /备份二进制文件路径/nginx

        3.替换原先的二进制文件

         cp  /nginx/sbin/nginx  /原先的二进制文件路径下面/nginx

复制nginx二进制文件

(5)进入nginx的配置文件下面,配置more_clear_headers 'Server';重新启动nginx

         sudo systemctl start nginx

(6)然后访问nginx,f12,看响应头server还存在不存在。

)荒
关注
  • 25
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vuln-scanner-flask:Flask应用程序可用于扫描网站上的(xss,sql)漏洞
04-06
9. **持续集成/持续部署(CI/CD)**:将漏洞扫描集成到CI/CD流程,可以在代码合并到主分支前就发现并修复安全问题,确保软件的每一次发布都是安全的。 10. **隐私保护和合规性**:在进行漏洞扫描时,必须遵守相关...
web端的在线漏洞扫描.
07-25
Web端的在线漏洞扫描网络安全领域的一个重要环节,它主要用于检测和识别Web应用程序的安全漏洞。随着互联网技术的快速发展,Web应用已经成为企业、组织和个人进行交互的主要平台,但同时也成为了黑客攻击的重要...
nginx-在应用程序发现不必要Http响应
u013008898的博客
02-19 768
nginx-在应用程序发现不必要Http响应
漏洞修复:在应用程序发现不必要Http 响应
CutelittleBo的博客
08-30 2945
nginx server tokens 参数描述:http://nginx.org/en/docs/http/ngx_http_core_module.html#server_tokens。插件地址:https://github.com/openresty/headers-more-nginx-module。记得修改/path/to/headers-more-nginx-module为你下载的插件路径。编译完成后,在nginx.conf参数增加,以移除Server键值对。
解决appscan扫描“下在应用程序发现不必要Http 响应”问题
weixin_58794925的博客
10-13 860
解决appscan扫描“下在应用程序发现不必要Http 响应”问题
漏洞扫描:在应用程序发现不必要Http 响应。解决报错:error: ‘ngx_http_headers_in_t’ has no member named ‘cookies’ ...
lanren312的博客
02-27 1161
nginx1.23.0开始,所有的都以链表的形式返回,而不是数组。v0.34 解决了这个问题。因为我的nginx是1.23.1,所以我用v0.33不行,要用v0.34这个版本。重启nginx: systemctl restart nginx。在浏览器里面就看不到 server: nginx/1.23.1。修改nginx.conf。写到这里,先上错误的截图。修改nginx.conf。再看看正确的处理方法。
用于检测HTTP请求缺失和CORS跨域漏洞的工具
07-02
- **Access-Control-Allow-Methods**:检查允许的方法,避免不必要HTTP操作。 - **Access-Control-Allow-Headers**:确保只允许必要的自定义请求。 - **Access-Control-Allow-Credentials**:如果启用,应...
NMAP漏洞扫描
07-16
综上所述,NMAP在漏洞扫描的应用深度和广度都很大,学习和掌握NMAP的使用,对于提升网络安全防护能力具有重要意义。对于提供的压缩包文件“nmap-5.61TEST1”,这可能是NMAP的一个早期测试版本,虽然具体的功能可能...
visual c++网段扫描程序
04-25
- **避免被检测**:网络扫描可能会被视为攻击行为,因此应合理控制扫描速度,避免引起不必要的注意。 - **合法性和道德问题**:进行网络扫描前,确保遵循所有适用的法律和道德规范,尤其是在他人的网络上。 7. **...
https和http区别
最新发布
qq_39495959的博客
07-18 521
HTTP信息是明文传输,而HTTPS则通过SSL/TLS协议进行加密传输,确保数据传输的安全性。HTTPS可以验证服务器身份,防止间人攻击,保护数据的完整性和保密性。HTTPS是在HTTP基础上加入SSL构建的,支持加密传输和身份认证。由于HTTPS在传输层增加了加密处理,页面加载速度可能会比HTTP慢,且对服务器资源消耗更大。HTTPS需要向CA(证书颁发机构)申请证书,这通常涉及一定的费用,而HTTP不需要。HTTPS的URL以"https://“开,而HTTP则是"http://”。
postman点code选http出现乱码?
weixin_45042852的博客
07-15 311
转化到数据上的话就是用fn_UrlEncode函数将参数依次进行编码再拼接起来。它会保留=和&,postman 用的http就是用的这种,只对参数进行编码。
JMeter进行HTTP接口测试的技术要点
Chloe_Daytoy05的博客
07-15 549
参数化,断言,关联,录制脚本,直连数据库,逻辑控制器,定时器
网络通信」HTTP 协议
Ice_Sugar_7的博客
07-14 1167
HTTP 协议全称为超文本传输协议,超文本比文本更加强大,它不仅包含字符串,还可以携带一些图片、特殊格式等HTTP 最主要的应用场景就是网站。浏览器和服务器、客户端和服务器之间传输数据的协议,很可能就是 HTTP
[AHK] WinHttpRequest.5.1报错 0x80092004 找不到对象或属性
liuyukuan的专栏
07-14 589
在确认用浏览器可以正常访问情况下,用官方帮助的示例运行会报错 Error: (0x80092004) 找不到对象或属性。用 thqby大佬的 WinHttpRequest.ahk 网络请求库也会报这个错误。求指点。
[计网初识2]web的3个核心标准html,url,http
qq_43235540的博客
07-15 697
web的3个核心标准-->HTML,URL,HTTP的构成,
【用户投稿】使用 SeaTunnel 进行 HTTP 同步到 Doris 实战经验分享
weixin_54625990的博客
07-18 413
由于我司的项目需要接入不同的数据源的数据到数仓,在选择了众多的产品最后选择了Apache SeaTunnel,上面的source配置的schema的id,接口返回的实际类型是字符串类型,但是是雪花算法的全数字类型,所以使用。目前我这边使用的接口,暂时没有接口认证,如果需要接口认证的方式接入数据,再做讨论及测试。的区别就在于job执行的环境不同,conf使用的是。使用的id作为主键,Doris要求主键列类型。话不多说,先贴最终的运行文件,由于我使用的。以上是我的一些经验分享,希望对大家有帮助!
HTTP背后的故事:理解现代网络如何工作的关键(一)
LHY537200的博客
07-14 2117
2.HTTP 诞生与1991年. 目前已经发展为最主流使用的一种应用层协议. 注意:要查看报文格式,要先下载一个抓包工具,抓包工具本质上是一个"代理程序”,能够获取到网络上传输的数据,并显示出来,从而给程序员提供一些参考。这里的抓包工具使用Fiddler,这是专注于HTTP的抓包。下载地址:Web Debugging Proxy and Troubleshooting Tools|Fiddler (telerik.com) 如果是学生使用的话,使用经典版即可,是免费的。除了上述操作之外,另外,还需要关闭电
Swagger API 信息泄露漏洞【原理扫描】 怎么修补漏洞
06-03
修补Swagger API信息泄露漏洞的方法如下: 1. 更新Swagger版本:最新版本的Swagger可能会修复漏洞。 2. 删除不必要的API:您可以删除不必要的API,以减少攻击面。 3. 加密敏感信息:在API请求和响应,您可以加密敏感信息(如密码、密钥等)。 4. 使用访问控制:您可以使用访问控制来限制对API的访问。 5. 安装Web应用程序防火墙:安装Web应用程序防火墙可以帮助您检测和阻止攻击。 6. 限制访问API文档:您可以限制对Swagger API文档的访问,以减少攻击面。 7. 隐藏Swagger UI:您可以隐藏Swagger UI,以减少攻击面。 请注意,这些方法可能不是100%保证解决所有问题,因此,您应该始终保持警惕,定期更新您的安全措施,并监控您的API以检测任何异常活动。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值