Help us learn about your current experience with the documentation. Take the survey.
服务器头暴露版本信息
描述
目标网站返回了网站的 Server 头和版本信息。通过暴露这些值,攻击者可能会尝试识别目标软件是否容易受到已知漏洞的影响,或者记录运行特定版本的已知站点,以便在特定版本中发现漏洞时进行利用。
修复建议
我们建议从 Server 头中移除版本信息。
Apache:
对于基于 Apache 的网站,在 httpd.conf 配置文件中将 ServerTokens 设置为 Prod。
NGINX:
对于基于 NGINX 的网站,在 nginx.conf 文件中将 server_tokens 配置值设置为 off。
IIS:
对于基于 IIS 的网站版本 10 及更高版本,您可以在 Web.config 文件的 requestFiltering 部分使用 removeServerHeader 元素。
对于所有其他服务器类型,请查阅您的产品文档,了解如何从 Server 头中删除版本信息。
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 16.2 | true | 16 | Passive | Low |