隐藏响应头中Apache、nginx或PHP的版本信息

╰半夏微凉° 2022-07-12 03:09 341阅读 0赞

默认地，服务器HTTP响应头会包含apache，nginx和php版本号。像下面的，这是有危害的，因为这会让黑客通过知道详细的版本号而发起已知该版本的漏洞攻击。

![图示][SouthEast]

# Apache #

为了阻止这个，需要在httpd.conf设置ServerTokens为Prod，这会在响应头中显示“Server:Apache”而不包含任何的版本信息。

下面是ServerTokens的一些可能的赋值：

ServerTokens Prod 显示“Server: Apache”  
ServerTokens Major 显示 “Server: Apache/2″  
ServerTokens Minor 显示“Server: Apache/2.2″  
ServerTokens Min 显示“Server: Apache/2.2.17″  
ServerTokens OS 显示 “Server: Apache/2.2.17 (Unix)”  
ServerTokens Full 显示 “Server: Apache/2.2.17 (Unix) PHP/5.3.5″

# PHP #

需要将php.ini中的expose\_php = On，改为Off，头信息中将隐藏X-Powered-By:PHP/7.1.0

# nginx #

1.隐藏版本号:

# vi nginx.conf #

在http 加上 server\_tokens off;

如下：

http {
    ……省略配置
    server_tokens off;   ->即可隐藏版本号
    …….省略配置
    }

重启nginx后，我们返回的Server头格式为Server:nginx ,而且nginx自己的404页面也没有版本号的信息

2.返回自定义的server  
混淆Server信息

我是不太愿意告诉别人我是使用什么Server的，但没有找到相关文献去隐藏它，所以我们可以混淆她，如把Server返回GFW之类的，吓唬吓唬那些脚本小子

大部分情况下，脚本的小子的扫描工具是扫描我们response返回的header中的server信息.我们可以采用编译源码的方法来改变返回的Server,笔者的版本是nginx1.7.0,我们修改`src/http/ngx_http_header_filter_module.c` 中的48行

static char ngx_http_server_string[] = "Server: nginx" CRLF;

把其中的nginx改为我们自己想要的文字即可，笔者就改为了YSY. 笔者输出的Server:YSY.(这个前提是你进行了第一个步句的操作，关闭了版本号)

如果你的版本号是开着的，你又想调戏下脚本小子.比如Server:billgate/1.9.0

我们修改src/core/nginx.h 定位到13-14行

#define NGINX_VERSION      "1.7.0"
    
       #define NGINX_VER          "nginx/" NGINX_VERSION

Server返回的就是常量`NGINX_VER`, 我们把`NGINX_VERSION`大小定义为1.9.0，nginx改为billgate就能达到我们的目的了

[SouthEast]: /images/20220711/3ee3051501d640e4bb1099b2360514c2.png

发表评论取消回复

表情：

评论列表（有 0 条评论，341人围观）

还没有评论，来说两句吧...

相关阅读

相关爬虫常用请求头和响应头信息

常用请求头信息： \-User-Agent:请求载体的身份标识，即浏览器信息（如版本，apach信息，OS版本） \-Connection: 请求完毕后，是断开连接还是

朴灿烈づ我的快乐病毒、/ 2023年01月19日 09:52/ 0 赞/ 217 阅读

相关 HTTP响应头和请求头信息对照表

原网址：http://tools.jb51.net/table/http\_header HTTP响应头和请求头信息对照表 HTTP请求头提供了关于请求，响应

布满荆棘的人生/ 2022年08月10日 05:52/ 0 赞/ 220 阅读

相关隐藏响应头中Apache、nginx或PHP的版本信息

默认地，服务器HTTP响应头会包含apache，nginx和php版本号。像下面的，这是有危害的，因为这会让黑客通过知道详细的版本号而发起已知该版本的漏洞攻击。 ![图示][

╰半夏微凉°/ 2022年07月12日 03:09/ 0 赞/ 342 阅读

相关 web页面请求隐藏影响的IIS信息头及版本

老外的一篇文章，可以看看，地址：h[ttps://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http

爱被打了一巴掌/ 2022年06月11日 01:18/ 0 赞/ 108 阅读

相关 php CURL 请求头和响应头获取

原文地址：[点击打开链接][Link 1] 1.从CURL中获取响应头 $oCurl = curl_init(); // 设置请求头, 有时候需要,有

╰半夏微凉°/ 2022年05月30日 09:55/ 0 赞/ 367 阅读

相关 retrofit2 获取响应头信息

前言最近几天晚上时候，一直在修改自己前一段时间写的下载工具。想着把它变成开源库造福大家。原本，以为是很简单的事。结果在下载文件格式哪里，博主陡然发现！以前自己用的时

旧城等待，/ 2022年05月15日 13:48/ 0 赞/ 236 阅读

相关隐藏IIS响应头信息

响应头信息原始头信息 Cache-Control： private Content-Length： 78457 Content-Type： text/HTML; ch

待我称王封你为后i/ 2022年04月10日 07:18/ 0 赞/ 397 阅读

相关如何在php中获取curl请求的请求头信息及相应头信息

1、获取请求头信息可以在curl\_exec函数执行前，添加代码curl\_setopt($ch,CURLINFO\_HEADER\_OUT,true); 在curl\_

拼搏现实的明天。/ 2021年10月18日 14:54/ 0 赞/ 1765 阅读

相关 nginx隐藏server信息和版本信息

1.隐藏版本信息在nginx.conf里面添加 server_tokens off; 2.隐藏server信息需要重新编译ngnix 进入解压出来的ng

矫情吗；*/ 2021年09月01日 05:22/ 0 赞/ 362 阅读

相关 Java 实例 - 获取 URL 响应头信息

Java 实例 - 获取 URL 响应头信息,以下实例演示了如何获取指定 URL 的响应头信息：

灰太狼/ 2020年05月23日 15:33/ 0 赞/ 742 阅读