那些遇到过的问题

是否有任何理由在 Apache 中保留“服务器”响应标头

Nic*_*ell 16 http-headers apache-2.2

我的服务器响应Server: Apache/2.2.15 (CentOS)所有请求。我猜这放弃了我的服务器架构,使黑客尝试变得更容易。

这对网络浏览器有用吗?我应该坚持下去吗?

Mic*_*ton 19

如果需要,您可以更改服务器标头,但不要指望安全性。只有保持最新才能做到这一点,因为攻击者可以忽略您的服务器标头并从一开始就尝试所有已知的漏洞利用。

RFC 2616 部分规定:

鼓励服务器实现者将此字段设为可配置选项。

Apache 做到了,使用了ServerTokens指令。如果你愿意,你可以使用它,但同样,不要认为它会神奇地防止你受到攻击。

  • +1 我的日志中充满了针对未安装软件的“攻击”。黑客只是扔掉他们所拥有的一切,看看什么能坚持下来。如果有任何更改 ServerTokens 的实用程序,它最多可以忽略不计。 (4认同)
  • 我有点不同意。虽然它可能是次要的,但安全永远不够强大,任何可以提供帮助而不带来缺陷或降低性能的东西都必须得到执行。 (3认同)
  • 为什么要提供志愿版本信息?我总是设置“ServerSignature Off”和“ServerTokens Prod”。也同意让您的网络服务器保持最新是唯一真正的保护。如果您不删除版本信息并提交给第三方渗透测试,他们肯定会将其标记为“信息泄漏”。 (2认同)

ETL*_*ETL 16

在我看来,最好尽可能地掩盖这一点。它是您用来入侵网站的工具之一 - 发现其技术,利用该技术的已知缺陷。安全最佳实践不久前开始推广使用“/view/page”形式的网址而不是“/view/page.jsp”或“/view/page.asp”形式的相同原因......所以底层技术不会暴露。

有一些关于此的讨论,例如/sf/ask/59074221/http://www.troyhunt.com/2012/02/shhh- dont-let-your-response-headers.html和明显的 Hacking Exposed 书。

这也在安全 SE https://security.stackexchange.com/questions/23256/what-is-the-http-server-response-header-field-used-for

但请记住,这并不是保护服务器的最终目的。只是朝着正确方向再迈出一步。它不会阻止执行任何黑客攻击。它只是让人们不太清楚应该执行什么黑客攻击。

  • 删除 URL 中的文件扩展名与安全无关......它对人类来说更具可读性。您的应用程序平台还有一千多种展示方式。 (6认同)

归档时间:

查看次数:

1709 次

最近记录:

12 年,3 月 前
相关归档
检查端口 80 上的活动连接数? 40
如何检查apache正在运行的端口 26
将 Windows 身份验证与 Linux 上的 Apache HTTP 服务器集成 12
apache2ctl: 87: ulimit: error setting limit (Operation not allowed) 12
HaProxy - 502 错误网关:在 HTTPS 端口上使用 HTTP 8
Nginx $http_x_forwarded_for 并不总是被设置 7
如何在 Mac OS X 上使用Passenger (mod_rails) 设置Apache? 6
为什么 htaccess 没有遵循这个 php_value 指令? 5
为什么我的 htaccess 重定向不起作用? 5
SSL 证书未显示正确值?“某市”、“某州” 2
难疑归档
在大型技术会议上提供可靠的互联网接入和 Wi-Fi 有哪些障碍? 279
使用初始命令运行交互式 bash 子外壳,而无需立即返回(“超级”)外壳 134
使用 S3 的 Amazon Cloudfront。拒绝访问 126
如何使用 iptables 进行端口转发? 126
最大端口号是多少? 85
SAN、NAS 和 DAS 之间有什么区别? 74
为什么 CA 根证书都是 SHA-1 签名的(因为不推荐使用 SHA-1)? 69
如何在我的 linux 服务器上编辑另一个用户的 crontab? 64
STARTTLS 不如 TLS/SSL 安全吗? 63
为内部网络覆盖 BIND 中的一些 DNS 条目 55