http://www.voycn.com/article/loudongxiufu-webfuwuqihttpshezhiloudong.
【漏洞修復】Web服務器HTTP設置漏洞
文章目錄
Web服務器HTTP設置漏洞 Web服務器HTTP頭信息公開 默認的nginx HTTP服務器設置 Web服務器錯誤頁面信息泄露 修復方案 服務驗證
Web服務器HTTP設置漏洞
Web服務器HTTP頭信息公開
遠程Web服務器發送的HTTP標頭公開了可以幫助攻擊者的信息,例如Web服務器使用的服務器版本和語言。
默認的nginx HTTP服務器設置
遠程網絡服務器包含默認設置,例如啟用的服務器令牌和/或默認文件,例如默認索引或錯誤頁面。這些項目可能會泄漏有關服務器安裝的有用信息。
Web服務器錯誤頁面信息泄露
遠程Web服務器發送的默認錯誤頁面公開了可以幫助攻擊者的信息,例如Web服務器使用的服務器版本和語言。
修復方案
修改Nginx配置文件,http域中添加如下配置:
server_tokens off;
add_header X-Frame-Options DENY;
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options nosniff;
服務驗證
