漏扫问题-服务器中间件版本信息泄露(消除/隐藏Nginx版本号)

最新推荐文章于 2025-06-20 10:46:00 发布
原创 最新推荐文章于 2025-06-20 10:46:00 发布 · 1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #中间件 #nginx #banner #web安全

漏洞详情

使用Nginx部署应用程序,请求中默认会返回Nginx版本信息,攻击者可以根据版本号来了解相关漏洞并进行针对性攻击。

Nginx版本信息:

解决方法

使用 server_tokens off; 配置,配置项官网介绍:Module ngx_http_core_module

server_tokens是nginx在ngx_http_core_module中提供的一个功能,可以用来隐藏nginx版本号信息。

具体操作:在Nginx的配置文件中增加以下内容,然后重启Nginx服务

server_tokens off;            # nginx 默认没有该项配置

示例:

也可以加在任意一个被使用到的conf配置文件中,如 /etc/nginx/conf.d/security.conf 。

参考文档

进一步隐藏nginx server头信息,可以将headers模块重新编译,参见:https://zhuanl

最低0.47元/天 解锁文章

200万优质内容无限畅学
身价五毛
关注
服务器中间件版本信息泄露,中间件版本信息泄露
weixin_42427302的博客
08-05 5893
中间件版本信息泄露洞《Web安全测试学习手册》- 中间件版本信息泄露洞0x00 中间件版本信息泄露洞1)什么是中间件版本信息泄露洞通常在HTTP报文的响应头中存在的标志、版本号等信息均属于中间件版本信息泄露洞。2)中间件版本信息泄露洞的特点通常出现在默认安装好的Web中间件上,大部分管理员都不会修改这个标志。0x01 中间件版本信息泄露- 风险等级低0x02 中间件版本信息泄露...
nginx配置错误页面,处理tomat版本号泄露问题
weixin_39412946的博客
01-18 1626
一、问题描述 项目做安全描时,Tomcat报错页面泄Apache Tomcat/7.0.52相关版本号信息,安全策略要求去掉版本号信息。 二、解决方法 (一)网上搜了下,大多都是简单粗暴的处理,直接去掉了tomcat的版本信息: 1、进入到tomcat/lib目录下,用电脑自带解压软件打开catalina.jar 进入到\org\apache\catalina\util目录下 2、编辑ServerInfo.properties文件,编辑最后三行,去掉版本号等信息 3、改完后自动跳出提示,点击“是”
常见的中间件
2401_88387979的博客
01-01 1388
Weblogic Server中的RMI 通信使⽤T3协议在Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应⽤程序的每个Java虚拟机(JVM)中,并创建T3协议通信连接, 将流量传输到Java虚拟机. T3协议在开放WebLogic控制台端⼝的应⽤上默认开启, 攻击者可以通过T3协议发送恶意的的反序列化数据, 进⾏反序列化, 实现对存在洞的weblogic组件的远程代码执⾏攻击。
修复HTTP头信息泄露Nginx版本信息问题
最新发布
qq_38311163的博客
06-20 530
正常nginx使用中会在http头信息中显示服务名及版本号信息,如下图所示,但nginx历史版本中会有一些未修复的洞,如果显示版本号,则可以针对版本洞进行攻击,安全系数较低,隐藏版本号或者修改web服务器所用的软件名称是为了防止用户利用软件洞进行攻击。
存在nginx版本信息泄露(请求头中存在nginx中间件版本信息
明静致远
09-04 2020
时,Nginx将不会在响应头中包含任何服务器版本信息,仅显示“Server: nginx”这一行,这样可以提高服务器安全性。攻击者可能会尝试通过获取服务器版本信息来寻找潜在的洞进行攻击,因此关闭服务器版本信息可以减少这种风险。指令用于控制Nginx在HTTP响应头中包含的服务器版本信息,默认为true,开启状态。指令来禁止Nginx在错误页面和Server头信息中显示版本号。在Nginx配置文件(比如nginx.conf)中,使用。在Nginx的配置文件中,头信息中包含版本号
Tomcat中间件版本信息泄露
m0_54849806的博客
08-31 3635
解压后,通过vi编辑器修改解压出来的ServerInfo.properties文件(在/org/apache/catalina/util/下)进入Tomcat的webapps/ROOT目录,新增error_404.html页面,使用自定义页面已达到隐藏中间件版本信息的目的。Tomcat服务在响应404/500等网络错误时,默认会将当前版本信息显示出来,这样就造成了中间件版本信息泄露这样的洞。进入Tomcat下的lib目录,备份catalina.jar文件后,解压该文件。...
【bug】nginx版本号泄露
掘金者说
06-08 3756
访问一个地址出现了版本信息,为了安全需要将http请求响应头里的nginx版本号信息隐藏掉,nginx版本号泄露危害,通过配置关闭版本信息。现已发布:nginx-1.21.6 修复了我们在现代 linux 内核上观察到的 nginx worker 之间不均匀的连接分布,并修复了 njs-0.7.2 中的错误。完整的发行说明可以在http://nginx.org/上找到官网查查 nginx配置关闭显示版本信息Nginx任意代码执行洞(CVE-2021-23017)......
浅谈Nginx(或LNMP)、Apache(或LAMP)、Tomcat版本信息泄露危险和修复方法
满天点点星辰的博客
04-07 5005
在使用Nginx(或lnmp)做反向代理、集群或是做跨域配置、Apache(或lamp)和Tomcat做为应用端使用时,其相关版本号和软件名称信息泄露,此时攻击者会利用相应软件版本的当前洞,进行有效的相应攻击。
隐藏nginx 中间件版本信息
02-06
为了提升Nginx中间件安全性并防止版本信息泄露,在Nginx配置文件中应调整`server_tokens`指令,该指令决定了Nginx是否会在HTTP响应头中包含服务器版本信息[^2]。 #### 方法一:全局禁用版本信息展示 可以在`...
[Docker镜像配置Nginx容器迭代]内网环境升级Nginx中间件及其他,依赖外部镜像拉取后导入后配置。
EasyJax的博客
07-18 1059
内网云环境下解耦中间件,docker容器化提升迭代效率,管理效率,提升拓展性可重用性。
nginx-1.13.3,nginx1.13.3不存在信息泄安全稳定nginx版本
10-09
亲测好用.nginx-1.13.3,nginx1.13.3不存在信息泄安全稳定nginx版本,不存在nginx-1.13.3 nginx1.13.3 安全稳定 nginx版本
Nginx 版本信息泄露解决方案
心有猛虎细嗅蔷薇
11-14 2837
more_clear_headers 没有找到官网说明,不过这个参数确实可以去掉Response的 server 信息。攻击者可能使用泄露版本信息来确定该版本服务器有哪些安全洞,据此展开进一步的攻击。
【tomcat中间件版本泄露
weixin_46013012的博客
06-19 340
showServerInfo=“false” 不显示中间件版本信息。showReport=“false” 不显示报错详细信息。
存在nginx版本信息泄露,建议屏蔽错误页面中的具体版本信息
qq_35913117的博客
05-23 781
存在nginx版本信息泄露,建议屏蔽错误页面中的具体版本信息
nginx版本号泄露问题解决
听闻如故的博客
08-02 4343
nginx版本号暴露问题
nginx版本泄露问题解决
weixin_49133196的博客
10-10 1703
1.进入nginx.conf文件,例如h5服务。3.查看nginx配置是否正确。2.在http模块中添加。4.重启nginx服务。
windows服务器版本信息泄露,震惊!微软32TB Windows 10源代码在网上被泄露
weixin_35202013的博客
08-12 770
Windows 10凤凰科技讯 据The Register北京时间6月24日报道,多个微软内部Windows操作系统版本及内核源代码泄露到网上。这些数据——32TB的非公开官方安装映像和软件蓝图设计压缩到了8TB,被上传到betaarchive.com,最新一批文件是是本周早些时候上传的。据悉,这些秘密数据是今年3月份前后从微软内部系统中泄露出来的。被泄露的代码是微软共享代码工具包(Shared ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值