|
|
Objavljeno na 16. 06. 2015 23:16:37
|
|
|
|
Privzeto Nginx prikaže številko različice, na primer:
[root@bkjz ~]# zavijanje -Jaz www.nginx.org
HTTP/1.1 200 OK
Server: nginx/0.8.44
Date: Tue, 13 Jul 2010 14:05:11 GMT
Content-Type: textml
Content-Length: 8284
Last-Modified: Tue, 13 Jul 2010 12:00:13 GMT
Connection: keep-alive
Keep-Alive: timeout=15
Accept-Ranges: bytes
To kaže, da je vaša strežniška različica nginx 0.8.44, nekatere ranljivosti Nginx različic pa so bile razkrite že pred časom, torej nekatere različice imajo ranljivosti, druge pa ne. Na ta način lahko izpostavljena številka različice zlahka postane informacija, ki jo lahko napadalci izkoristijo. Zato je z vidika varnosti skrivanje številke različice razmeroma varneje!
1. Dodajte server_tokens v konfiguracijsko datoteko nginx;
server_tokens obseg je http server locatio za odstranitev bloka n ukazov
server_tokens je privzeta vrednost vklopljena, kar pomeni, da so informacije o različici prikazane, vrednost server_tokens pa je izklopljena, lahko informacije o verziji nginx skrijete povsod.
2. Če je fastcgi_param SERVER_SOFTWARE nastavljen v php konfiguracijski datoteki, poiščite to vrstico in jo spremenite:
Uredite php-fpm konfiguracijsko datoteko, kot sta fastcgi.conf ali fcgi.conf (to ime konfiguracijske datoteke je mogoče tudi prilagoditi, odvisno od imena datoteke):
Našel sem:
fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;
Spremenjeno v:
fastcgi_param SERVER_SOFTWARE nginx;
3. Ponovno zaženi nginx za ponovno nalaganje konfiguracijske datoteke in dokončanje
|
Prejšnji:"Tear cabbage" magnetno išče izvorno kodo in milijarde baz podatkovNaslednji:Zapri sporočilo php X-Powered-By
|
Najemodajalec|
Objavljeno na 16. 06. 2015 23:42:56
|
Objavljeno na 15. 01. 2016 14:32:11
|
