我的服务器用Server: Apache/2.2.15 (CentOS)
响应所有的请求。 我想这就让我的服务器体系结构更容易破解。
这对网页浏览器有用吗? 我应该继续吗?
在我看来,最好尽可能地掩盖这一点。 这是你用来攻击一个网站的工具之一 – 发现它的技术,使用该技术的已知缺陷。 为什么安全最好的做法后来开始促进以“/ view / page”的forms而不是“/view/page.jsp”或“/view/page.asp”的forms推出url…因此,底层技术不会暴露。
但请记住,这不是保护您的服务器的最终目的。 朝着正确的方向再走一步。 它不会阻止任何黑客被执行。 它只是使它不太明显,应该执行什么黑客。
如果需要,您可以更改服务器标头,但不要指望安全。 只有保持最新会做到这一点,因为攻击者可以忽略你的服务器头,从一开始就尝试每一个已知的漏洞。
RFC 2616部分规定:
鼓励服务器实现者将此字段设置为可configuration的选项。
而Apache用ServerTokens
指令做了。 如果你愿意,你可以使用这个,但是不要以为它会魔法地阻止你受到攻击。
如果攻击者一直在保存哪个服务器运行什么软件的列表,那么显示完整的string以及版本信息,可能会给您带来0day攻击的风险。
这就是说,你不应该期望隐藏服务器string将保护你免受黑客攻击。 有许多方法可以根据响应和错误报告的方式来指定服务器。
我尽我所能地禁用了我的string,但是我不会为那些我无法隐藏的string(例如OpenSSH)而stream汗。