T上西北

Web安全-隐藏Web Server信息

这是一个非常容易忽略的点。

Web Server的信息包括:

  • Web Server的类型,常见的如Tomcat, Apache Httpd,Ngnix等。
  • 版本信息。即web server的版本信息。

为什么要隐藏这些信息呢?原因很简单,我们非常容易获取web server的软件信息。那么对于攻击者可以做什么呢?我们知道每种软件都是有漏洞的,尤其是对于这些著名的软件。如果出现安全性漏洞,一般都是公开的,而且有些漏洞有详细的复现步骤。

其他web server不在这里例举了。

所以,当攻击者知道web server信息,又加上这对每个漏洞的详细解释,攻击就简单多了。

那么如何隐藏web 容器信息呢?一般来说是可以通过配置解决的。

Apache Tomcat

可以在server.xml里的Connectorserver属性解决。参考https://tomcat.apache.org/tomcat-7.0-doc/config/http.html

Apache HTTPd
security.conf里的ServerSignature Off

评论已关闭.