一、问题描述
- 最近项目系统处于安全防护阶段;相关维护人员会通过工具扫描指定项目系统所使用的软件,判断其是否存在某些不安全的漏洞。借此机会修复漏洞以至于使系统变的更加的安全,防止对系统用户以及系统方造成相关的损失。
- 一般来说,软件的漏洞都与版本信息有关,隐藏版本号或者修改web服务器所用的软件名称是为了防止恶意用户利用软件漏洞进行攻击。
- 今天,我们就来说一下头信息泄漏nginx版本信息以及如何进行修复。
二、修复步骤
- 修复方法分为两种:
(1)直接隐藏掉nginx的版本信息
(2)修改web服务器所使用的nginx的名称和版本信息 - 直接隐藏掉nginx的版本信息
[root@VM_0_12_centos conf]# vim nginx.conf
#添加内容
server_tokens off;
浏览器控制台抓包可以看到:
**Response Headers**
Accept-Ranges: bytes
Content-Length: 739
Content-Type: text/html
Date: Tue, 30 Jun 2020 07:53:36 GMT
ETag: "5e9bc167-2e3"
Last-Modified: Sun, 19 Apr 2020 03:11:35 GMT
Server: nginx
-
修改web服务器所使用的nginx的名称和版本信息
(1)一共需要修改三个文件。包括: ·src/core目录下的nginx.h文件 ·src/http目录下的ngx_http_header_filter_module.c文件 ·src/http目录下的ngx_http_special_response.c文件 (2)修改内容如下: [root@VM_0_12_centos core]# vim nginx.h #define NGINX_VERSION "" #define NGINX_VER "CSDN" NGINX_VERSION [root@VM_0_12_centos http]# vim ngx_http_header_filter_module.c static u_char ngx_http_server_string[] = "Server: CSDN" CRLF; [root@VM_0_12_centos http]# vim ngx_http_special_response.c static u_char ngx_http_error_tail[] = "<hr><center>CSDN</center>" CRLF "</body>" CRLF "</html>" CRLF (3) 重新编译nginx并启动 [root@VM_0_12_centos nginx]# ./configure --prefix=/usr/local/nginx [root@VM_0_12_centos nginx]# make && make install [root@VM_0_12_centos sbin]# kill -9 PID [root@VM_0_12_centos sbin]# ./nginx -c /usr/local/nginx/conf/nginx.conf #重新加载配置文件并启动 (4)浏览器控制台抓包可以看到: **Response Headers** Accept-Ranges: bytes Content-Length: 739 Content-Type: text/html Date: Tue, 30 Jun 2020 07:53:36 GMT ETag: "5e9bc167-2e3" Last-Modified: Sun, 19 Apr 2020 03:11:35 GMT Server: CSDN
三、总结
- 建议大家选择第二种方式,虽然修改的文件以及操作可能多了点,但是第二种相对于第一种更安全一些。
- 本人选择第二种:因为二者存在的差异在于按照第一种方式修改完成之后,在一些静态文件(html/css/js/png/…)的请求头中还会存在nginx相应的版本信息;大家可以都尝试一下,然后找找问题。大家有啥问题,都可以给我留言~