隐藏服务器信息

最新推荐文章于 2024-10-29 15:51:23 发布
最新推荐文章于 2024-10-29 15:51:23 发布 · 295 阅读 · 0
文章标签:

#应用服务器 #JBoss #Apache #Tomcat #Unix

本文介绍如何在Apache和JBoss中隐藏服务器和技术版本信息,包括修改httpd.conf中的ServerTokens设置及禁用X-Powered-By头部。

在一般情况下,我们可以在http header里看到服务器构建的信息,如:

 

Server : Apache/2.0.61 (Unix) X-Powered-By : Servlet 2.4; JBoss-4.0.4.GA (build: CVSTag=JBoss_4_0_4_GA date=200605151000)/Tomcat-5.5

 

这可能存在一些麻烦,如果让人知道软件版本,特别是在软件有bug的情况下会比较危险,所以我们可以把这些信息屏蔽,不给客户端用户知道.

 

Server信息这是在apache里控制的,

 

在httpd.conf里加入一行

 

ServerTokens Prod

 

这样,http header里的显示最简单的server信息,当然也可以设置其他的级别,

 

以下设置的级别和输出信息对照情况:

 

 ServerTokens Prod[uctOnly] Server sends (e.g.):

Server: Apache ServerTokens Major Server sends (e.g.):

 Server: Apache/2 ServerTokens Minor Server sends (e.g.):

Server: Apache/2.0 ServerTokens Min[imal] Server sends (e.g.):

 Server: Apache/2.0.41 ServerTokens OS Server sends (e.g.):

Server: Apache/2.0.41 (Unix) ServerTokens Full (or not specified) Server sends (e.g.):

Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2

 

 

X-Powered-By信息这个一般是有应用服务器提供的

 

如jboss下,他是由一个filter提供的,你可以定义你所需要的信息,具体是在jboss的server/default/deploy/jbossweb-tomcat55.sar/conf/web.xml 这个文件中定义,有这样的几句:

 

 <!-- ================== Common filter Configuration ==================== -->

<filter>

<filter-name>CommonHeadersFilter</filter-name>

<filter-class>org.jboss.web.tomcat.filters.ReplyHeaderFilter</filter-class>

<init-param>

<param-name>X-Powered-By</param-name>

<param-value>Servlet 2.4; JBoss-4.0.4.GA (build: CVSTag=JBoss_4_0_4_GA date=200605151000)/Tomcat-5.5</param-value>

</init-param>

</filter>

<filter-mapping><filter-name>CommonHeadersFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>

 

这可以在param-value中修改你想要显示的信息,如JBoss等

 通过看ReplyHeaderFilter的源代码得知,其实这个filter没有做其他的事情,只是把X-Powered-By信息放到http header中,所以可以全部注释掉,这样http header中就不会有任何X-Powered-By的信息了

nginx隐藏服务器信息以及修改服务器名称
bigwood99的博客
02-15 1756
屏蔽nginx输出版本号和nginx名称修改
基于Nginx进行服务器隐私保护:隐藏真实的服务器IP地址或主机名( 转发代理、服务器的别名)
专注于计算机研发知识和资讯分享
08-20 1545
这样配置后,在Nginx的日志、错误页面或者代理的时候,你可以使用别名 my-backend1 和 my-backend2 来代替真实的主机名,保护服务器的隐私。在Nginx中,可以通过配置upstream模块来设置后端服务器的别名,这通常用于在内部通信中隐藏真实的服务器IP地址或主机名。如果在proxy_pass后面的url加/,表示绝对根路径;如果没有/,表示相对路径,把匹配的路径部分也给代理走。隐藏服务器信息: IP、端口和主机名。
Nginx隐藏服务器端各类信息的方法
09-30
主要介绍了Nginx隐藏服务器端各类信息的方法,包括隐藏HTTP头信息和PHP版本号等等,需要的朋友可以参考下
如何隐藏服务器信息吗,隐藏服务器信息
weixin_29775479的博客
08-12 610
隐藏服务器信息 内容精选换一换华为云支持查询已注册域名的注册信息(WHOIS)。根据如下组织和规范的合规要求,WHOIS数据库的公开查询结果将不再显示域名注册者的私人信息:ICANN(The Internet Corporation for Assigned Names and Numbers,ICANN):《通用顶级域名注册数据临时政策细则》(Temporary S安装并启动Agent后,迁移A...
nginx隐藏server信息和版本信息
aituochang1886的博客
05-02 749
1.隐藏版本信息 在nginx.conf里面添加 server_tokens off; 2.隐藏server信息 需要重新编译ngnix进入解压出来的nginx源码目录 vi src/http/ngx_http_header_filter_module.c 将 static char ngx_http_server_string[] = "Server...
隐藏服务器版本信息
关雷
12-21 2014
隐藏apache版本信息: 开启 httpd.conf,加入以下两行: ServerTokens ProductOnly ServerSignature Off 隐藏PHP版本信息: 开启php.ini,加入: expose_php = Off
windows下nginx隐藏HTTP 请求头文件中的Server信息
明平姚的博客
12-16 2411
windows下nginx隐藏HTTP 请求头文件中
nginx 隐藏版本号与WEB服务器信息的解决方法
09-30
在网络安全日益重要的今天,隐藏服务器信息,特别是像Nginx这样的Web服务器的版本号,是一项基本的安全措施。这是因为,公开的版本信息可能会暴露服务器的弱点,让潜在的攻击者了解其可能存在的漏洞,从而有针对性地...
隐藏WAS服务器版本信息.doc编程资料
04-09
隐藏WAS服务器版本信息.doc
php如何隐藏server信息,隐藏http返回消息头中的Apache及PHP信息
weixin_39574708的博客
03-24 543
搬家之后注意到的一个小细节,之前用ligServer:顺手查了下隐藏掉的方法:首先是ServerTokens ProdServerSignature Off重启httpd服务即可,接下来是;;;;;;;;;;;;;;;;;; Miscellaneous ;;;;;;;;;;;;;;;;;;; Decides whether修改为Off,重启即可(我用的php-fpm所以需要重启此服务,如果是mod...
从Nginx源码出发-隐藏响应头的Server版本号等信息
who7708的专栏
01-28 2218
需求 当我们使用http/https请求时, nginx 会在请求的response里面的header加入Server: nginx:1.18 信息, 如果可以隐藏, 就不会被别人知道, 我用的是哪款web服务器, 或哪个版本. 例如 新浪网: Server: nginx / Server: WeiBo/LB 开源中国: Server:Tengine / server: marco/2.13 segmentfault 没有返回Server!/ server: Tengine 修改 nginx
linux 下nginx 平滑升级
weixin_50512016的博客
11-25 1423
1.下载nginx 源码包,下载地址:http://nginx.org 2.使用远程工具上传至相应的服务器(putty、xshell) 3.解压 示例:[root@shuaishuai ~]# tar -xf nginx-1.19.5.tar.gz 4.切换目录 示例:[root@shuaishuai ~]#cd nginx-1.19.5 5.查看之前nginx所安装的模块 示例:[root@shuaishuai nginx-1.19.5]# /usr/local/nginx/...
如何隐藏服务器真实IP,不被黑客发现
m0_70754056的博客
06-25 2013
第四种方式,禁止服务器icmp响应,一般情况下攻击者会通过IP段来扫描存在的机器,攻击扫描到服务器IP时,IP做出响应,既被作为有用的IP,一但我们禁止服务器icmp回显功能,那么即使攻击者扫描到我们的服务器IP,IP也不会做出回应,让攻击者认为此IP没有用,从而,对IP发挥一定的保护作用。在网络世界中,服务器的真实IP就如同我们的家庭住址,一但暴露,就如同找到了家门的钥匙,能肆意闯入,造成数据泄露 服务中断等严重后果,为保护服务器,避免受到潜在的攻击和侦察,隐藏服务器的真实ip地址是一项重要的措施。
隐藏响应的server,X-Powered-By
峰之流觞的博客
05-21 8350
隐藏响应的server,X-Powered-By隐藏X-Powered-By修改 php.ini 文件 设置 expose_php = Offapache 隐藏 server修改httpd.conf 设置 ServerSignature OffServerTokens Prodnginx 隐藏 server修改nginx.conf  在http里面设置 server_tokens off;...
提升 Nginx 安全性:隐藏 Server 信息的最佳实践
weixin_47830774的博客
10-29 1522
在当今互联网安全日益重要的背景下,保护服务器免受攻击成为每位开发者的首要任务。Nginx 作为一个广泛使用的高性能 web 服务器,其默认配置可能会暴露关键信息,给潜在攻击者提供了可乘之机。在这篇博客中,我们将探讨如何通过隐藏和自定义 Nginx 的 Server 头,提升网站的安全性和隐私。
服务器控件,调用隐藏服务器按钮的点击事件
wwwen的专栏
04-20 171
服务器控件,调用隐藏服务器按钮的点击事件 .cs代码: protected void Button2_Click(object sender, EventArgs e) { string js="window.document.getElementById('Upbtn').click();"; ScriptManager.RegisterStartupScript(this, Page.GetType(), ...
Servlet3.0
苏凯的博客
08-26 647
Servlet3.x Servlet/filter/listener 支持注解实现 创建serlvet3.x项目 点击next两次 [2]创建servlet   Tips:多了@WwebServlet注解。  Web.xml中没有servlet相关的配置 [3] @WebServlet    Value: url   数组类型                   ...
nginx隐藏响应头server信息和版本号信息
热门推荐
苏不轼的博客
08-18 1万+
如果暴露了服务版本等详细信息,攻击者可以利用这些信息实现更有目的性的攻击,所以我们需要进行隐藏版本号等信息
如何隐藏web服务器的banner信息
最新发布
06-18
### 隐藏 Web 服务器 Banner 信息的方法 为了增强 Web 服务器的安全性,隐藏服务器的 banner 信息是一种常见的做法。以下是一些主流 Web 服务器(如 Apache、Nginx 和 Tomcat)中隐藏 banner 信息的具体方法: #### Apache Web 服务器Apache 的配置文件 `httpd.conf` 或 `apache2.conf` 中添加或修改以下两条指令即可隐藏 banner 信息[^2]: ```apache ServerSignature Off ServerTokens Prod ``` - `ServerSignature Off`:禁用在错误页面上显示服务器版本和其他信息。 - `ServerTokens Prod`:仅输出 `Server: Apache`,而不显示详细的版本号和模块信息。 #### Nginx Web 服务器 对于 Nginx,可以通过以下方法隐藏 banner 信息[^4]: 1. **隐藏版本号**: 在 Nginx 的配置文件中添加以下指令: ```nginx server_tokens off; ``` 这将阻止 Nginx 在响应头中显示版本号。 2. **修改或隐藏 Server 字段**: 如果需要进一步隐藏或更改 `Server` 字段,可以使用第三方模块 `headers-more-nginx-module`。编译时需要添加该模块的支持,例如: ```bash ./configure --prefix=/application/nginx-1.23.3 --user=nginx --group=nginx --with-http_ssl_module --with-http_stub_status_module --add-module=/application/headers-more-nginx-module-0.34 ``` 安装完成后,在配置文件中添加以下指令以修改 `Server` 字段: ```nginx add_header Server "CustomName"; ``` 或者完全移除 `Server` 字段: ```nginx more_clear_headers "Server"; ``` #### Tomcat Web 服务器 Tomcat 默认会在错误页面中显示版本信息,这可能成为潜在的安全隐患。可以通过以下方式隐藏这些信息[^3]: 1. 修改 `server.xml` 文件中的连接器部分,添加以下属性: ```xml <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" server="HiddenServer" securityConstraints="true"/> ``` - `server="HiddenServer"`:将默认的 Tomcat 信息替换为自定义字符串。 2. 禁用默认错误页面: 在 `web.xml` 文件中定义自定义错误页面,覆盖默认的 404、403 等错误页面,避免泄露版本信息。 #### PHP 配置 如果 Web 服务器运行了 PHP 应用程序,还需要确保 PHP 不会泄露版本信息。在 `php.ini` 文件中设置以下参数[^2]: ```ini expose_php = Off ``` 这将防止 PHP 在 HTTP 响应头中暴露其版本号。 ### 检查隐藏效果 可以使用以下命令检查隐藏效果[^4]: ```bash curl -I http://your-server-address ``` 观察返回的响应头是否仍然包含敏感信息。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值