Как спрятать версию веб-сервера

Веб-серверы по умолчанию в заголовках отдают свой тип, а также версию. Эту информацию могут использовать хакеры, чтобы начать целенаправленные атаки. Кроме того, если версия вашего веб-сервера имеет известную уязвимость, то хакер воспользуется готовым эксплоитом.

Пример «информативных» заголовков веб-сервера:

HTTP/1.1 200 OK
Date: Thu, 24 Jun 2014 23:55:01 GMT
Server: Apache/2.2.21 (Win32) PHP/5.4.7
Content-Length: 30643
Connection: close
Content-Type: text/html; charset=UTF-8

Прячем версию Apache

Чтобы спрятать версию Apache нужно добавить/отредактировать параметры в httpd.conf:
ServerTokens Prod — Apache не будет отдавать свою версию. В заголовках будет лишь «Server: Apache».
ServerSignature Off — Apache не будет отображать свою версию на страницах с ошибками (404, 403 и т.д.).

Чтобы полностью скрыть факт использования Apache следует использовать ModSecurity.

Прячем версию ​​IIS

Для удаления информации о сервере IIS из ответов HTTP можно воспользоваться инструментом URLScan от Microsoft.

После установки URLScan откройте файл Urlscan.ini с помощью текстового редактора. Файл обычно находится в папке %WINDIR%\System32\Inetsrv\URLscan. Найдите директиву RemoveServerHeader, которая по умолчанию установлена в 0. Установите значение 1, чтобы удалить заголовок Server.

Прячем версию ​​Nginx

Чтобы спрятать версию Nginx нужно добавить/отредактировать параметр в nginx.conf:

server_tokens off — Nginx не будет отдавать свою версию. В заголовках будет лишь «Server: nginx».

Чтобы полностью скрыть факт использования Nginx следует воспользоваться модулем HttpHeadersMoreModule.

В рубрике: Статьи.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *