我的服务器响应Server: Apache/2.2.15 (CentOS)所有请求。我想这会泄露我的服务器架构,从而更容易破解尝试。
这对网络浏览器有用吗?我应该坚持下去吗?
AskOverflow.Dev
我的服务器响应Server: Apache/2.2.15 (CentOS)所有请求。我想这会泄露我的服务器架构,从而更容易破解尝试。
这对网络浏览器有用吗?我应该坚持下去吗?
如果需要,您可以更改 Server 标头,但不要指望它的安全性。只有保持最新才能做到这一点,因为攻击者可以忽略您的服务器标头并从一开始就尝试所有已知的漏洞利用。
RFC 2616 部分声明:
Apache 使用
ServerTokens指令做到了。如果你愿意,你可以使用它,但同样,不要认为它会神奇地阻止你受到攻击。在我看来,最好尽可能地掩盖这一点。它是你用来破解网站的工具之一——发现它的技术,利用该技术的已知缺陷。同样的原因,安全最佳实践不久前开始推广以“/view/page”形式而不是“/view/page.jsp”或“/view/page.asp”形式的网址......所以底层技术不会暴露。
对此有一些讨论,例如https://stackoverflow.com/questions/843917/why-does-the-server-http-header-exist和http://www.troyhunt.com/2012/02/shhh- dont-let-your-response-headers.html显然是 Hacking Exposed 的书。
这也在安全 SE https://security.stackexchange.com/questions/23256/what-is-the-http-server-response-header-field-used-for
但请记住,这并不是保护服务器的最终目的。朝着正确的方向再迈出一步。它不会阻止执行任何黑客攻击。它只是使应该执行什么黑客攻击变得不那么明显。
如果攻击者一直保留哪些服务器运行哪些软件的列表,则显示完整的字符串以及版本信息可能会使您面临 0day 攻击的风险增加。
话虽如此,您不应该期望隐藏服务器字符串会保护您免受黑客攻击。有多种方法可以根据报告响应和错误的方式对服务器进行指纹识别。
我尽我所能禁用我的字符串,但我不会为那些我无法隐藏的字符串(例如 OpenSSH)而烦恼。