Nginx漏洞修复:在应用程序中发现不必要的 Http 响应头

最新推荐文章于 2025-01-23 21:45:00 发布
最新推荐文章于 2025-01-23 21:45:00 发布
阅读量1k 收藏 7
点赞数 8
文章标签: nginx http 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_31646657/article/details/135265383
版权
文章描述了如何通过安装headers-more-nginx-module插件来解决网站安全报告中提到的Nginx不必要的HTTP响应头泄露问题,包括安装步骤和配置修改过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、前言

最近拿到一份网站的安全报告,其中有一个漏洞是说“在应用程序中发现不必要的 Http 响应头”,也就是在响应头中出现了下方的信息,有泄漏服务器信息的风险,因此在此记录一下解决过程。
在这里插入图片描述

此问题可以通过给Nginx安装专门的插件来修复,插件地址如下:GitHub - openresty/headers-more-nginx-module: Set, add, and clear arbitrary output headers in NGINX http servers

二、步骤

S1:安装插件

wget 'http://nginx.org/download/nginx-1.17.8.tar.gz'
tar -xzvf nginx-1.17.8.tar.gz
cd nginx-1.17.8/

# Here we assume you would install you nginx under /opt/nginx/.
./configure --prefix=/opt/nginx2 --add-module=/path/to/headers-more-nginx-module

make
sudo make install

S2:测试Nginx配置

➜  ~ /opt/nginx2/sbin/nginx -t
nginx: [alert] could not open error log file: open() "/opt/nginx2/logs/error.log" failed (13: Permission denied)
nginx: the configuration file /opt/nginx2/conf/nginx.conf syntax is ok
2023/12/28 11:56:20 [emerg] 1711176#0: open() "/opt/nginx2/logs/nginx.pid" failed (13: Permission denied)
nginx: configuration file /opt/nginx2/conf/nginx.conf test failed

根据异常提示处理完对应的异常。
S3:增加去除Server的配置

http {
	more_set_headers 'Server: ';
	more_set_headers 'server: ';
}

S4:启动Nginx即可

参考

  1. 漏洞修复:在应用程序中发现不必要的 Http 响应头-优快云博客
  2. 一台服务器怎么装两个nginx
Nginx与Web安全:遵循OWASP最佳实践
墨夶的博客
12-12 1065
Open Web Application Security Project (OWASP) 是一个全球性的非营利组织,致力于提高软件安全性和保护Web应用免受各种威胁。OWASP发布了一系列关于Web应用安全的研究报告、工具和指南,成为业界广泛认可的标准之一。通过本文的学习,你已经掌握了如何使用Nginx实施OWASP推荐的安全措施。无论是基本的身份验证还是复杂的日志监控,都可以通过合理的配置和优化实现高效的解决方案。结合实际应用场景,可以进一步提升系统的性能和可靠性。
漏洞扫描:在应用程序发现不必要Http 响应头。解决报错:error: ‘ngx_http_headers_in_t’ has no member named ‘cookies’ ...
lanren312的博客
02-27 2374
nginx1.23.0开始,所有的头都以链表的形式返回,而不是数组。v0.34 解决了这个问题。因为我的nginx是1.23.1,所以我用v0.33不行,要用v0.34这个版本。重启nginx: systemctl restart nginx。在浏览器里面就看不到 server: nginx/1.23.1。修改nginx.conf。写到这里,先上错误的截图。修改nginx.conf。再看看正确的处理方法。
【译】在ASP.Net和IIS中删除不必要HTTP响应头
weixin_33724570的博客
12-14 354
引入    每次当浏览器向Web服务器发起一个请求的时,都会伴随着一些HTTP头的发送.而这些HTTP头是用于给Web服务器提供一些额外信息以便于处理请求。比如说吧。如果浏览器支持压缩功能,则浏览器会发送Accept-Encoding HTTP头,这样一来服务器便知道浏览器可以使用哪种压缩算法。还有任何在上一次传输中服务端设置的cookies也会通过Cookies HTTP头来回传到服务器,...
nginx-在应用程序发现不必要Http响应头
u013008898的博客
02-19 1308
nginx-在应用程序发现不必要Http响应头
漏洞扫描:在应用程序发现不必要Http 响应头
weixin_54891723的博客
06-11 1437
nginx 中要配置more_clear_headers 'Server'需要安装headers-more-nginx-module模块。nginx 1.24.1 对应headers-more-nginx-module版本是0.34。注意:我nginx 1.22.1 对应headers-more-nginx-module版本是0.33。cp /nginx/sbin/nginx /原先的二进制文件路径下面/nginx。(2)需要安装headers-more-nginx-module模块源码。
解决appscan扫描“下在应用程序发现不必要Http 响应头”问题
weixin_58794925的博客
10-13 1167
解决appscan扫描“下在应用程序发现不必要Http 响应头”问题
nginx漏洞扫描响应头缺失完美解决方案
最新发布
不积跬步,无以至千里;不积小流,无以成江海。
01-23 279
nginx漏洞扫描响应头缺失完美解决方案
CORS漏洞及其防御措施:保护Web应用免受攻击
qq_33163046的博客
09-14 2709
在当今互联网时代,Web 应用程序的架构日益复杂。一个后端服务可能对应一个前端,也可能与多个前端进行交互。跨站资源共享(CORS)机制在这种复杂的架构中起着关键作用,但如果配置不当,就会引发严重的安全漏洞,对用户数据和系统安全构成巨大威胁。CORS(Cross-Origin Resource Sharing)是一个Web浏览器的安全特性,允许或阻止一个网页从不同的域加载资源。通过设置特定的HTTP头,服务器可以控制哪些域能够访问其资源,从而避免潜在的安全风险。
Nginx安全配置指南技术手册.pdf(应用技术指南).txt
07-17
攻击者往往利用已知的Nginx漏洞进行攻击,隐藏版本信息可以降低被针对性攻击的风险。 ```nginx server { server_tokens off; } ``` #### 3.2 使用HTTPS 通过启用HTTPS协议,可以加密传输的数据,保护用户的隐私。...
企业级Nginx安全优化:隐藏版本信息提升安全性
Nginx作为企业级Web服务器,其软件版本号和名称通常包含在HTTP头信息中,这对于恶意攻击者来说是一个潜在的线索,他们可能会利用这些信息寻找特定版本的漏洞。版本信息的暴露就像武侠小说中的隐身术失效,容易让攻击...
Maven+Spring+SpringMVC+Mybatis+Shiro框架搭建工程
02-04
仅仅是一个Spring+SpringMVC+Mybatis+Shiro框架搭建工程,应该下载下来即用,对于初学者不会搭建的应该有用,相关配置查看配置文件即可,有详细说明。
漏洞修复:在应用程序发现不必要Http 响应头
CutelittleBo的博客
08-30 3418
nginx server tokens 参数描述:http://nginx.org/en/docs/http/ngx_http_core_module.html#server_tokens。插件地址:https://github.com/openresty/headers-more-nginx-module。记得修改/path/to/headers-more-nginx-module为你下载的插件路径。编译完成后,在nginx.conf参数中增加,以移除Server键值对。
应用程序发现不必要Http 响应头
少年你真的要止步于此嘛
06-15 1649
响应包含不必要的头,这可能会帮助攻击者计划进一步攻击。
移除http响应中的多余的头(X-AspNet-Version,Server等)
weixin_34237596的博客
11-17 223
网上搜索出很多方法了,这里记录一下: 如果是asp.net mvc的话还得在global.ascx中加入: 至于移除Server头,按网上的写法写httpmoudle后发现无效的,最后还是用了微软官方的UrlScan工具,搜索下载安装后在 C:WindowsSystem32inetsrvurlscan 里有个UrlScan.ini文件,需要用管理员的权限打开,我的方法是进...
nginx解决不必要Http 响应头漏洞(自定义server信息及隐藏版本号)
weixin_43872895的博客
05-10 3265
nginx解决不必要Http 响应头漏洞(自定义server信息及隐藏版本号)
删除不需要的 HTTP 响应标头 Server:Microsoft-IIS/7.5 X-Powered-By:ASP.NET
小广龙
04-20 7925
移除iis敏感响应头信息 Server、X-Powered-By、X-AspNet-Version
在ASP.Net和IIS中删除不必要HTTP响应头
weixin_34392435的博客
09-24 233
引入    每次当浏览器向Web服务器发起一个请求的时,都会伴随着一些HTTP头的发送.而这些HTTP头是用于给Web服务器提供一些额外信息以便于处理请求。比如说吧。如果浏览器支持压缩功能,则浏览器会发送Accept-Encoding HTTP头,这样一来服务器便知道浏览器可以使用哪种压缩算法。还有任何在上一次传输中服务端设置的cookies也会通过Cookies HTTP头来回传到服务器,浏览...
提升Nginx安全防护:20步详解Linux服务器配置
Nginx用户和权限进行严格管理,限制不必要的访问。使用强壮的密码,并定期更改,避免弱口令成为攻击入口。 9. **输入验证和防止CSRF**: 确保服务器对用户输入进行严格的验证和过滤,防止注入攻击。同时,处理跨...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GDBBader

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值