web安全——隐藏版本信息

以命令curl -I www.google.com 查看结果如何：

HTTP/1.1 302 Found
Cache-Control: private
Location: http://sorry.google.com/sorry/?continue=http://www.google.com/
Date: Mon, 12 Jan 2009 06:57:41 GMT
Content-Type: text/html; charset=UTF-8
Server: GFE/1.3
Content-Length: 259

请注意这里 Google 的前端 Web Server 是 GFE/1.3 （Google Front Edge 1.3），至于它具体对应 Apache 1.3.x 还是 Windows 1.3，我们并不知晓。这样就起到了很好的信息隐藏作用，一旦网上发现 Apache 1.3.x 或者 Windows 1.3 的最新漏洞，黑客们并不会直接联想到 GFE/1.3，自然也就不会来多作尝试了。
所以，我们应该把这些不可告人的秘密都隐藏起来，哪怕放一段文字广告

1、tomcat修改Server名称

修改文件：server.xml

<Connector port="8102" protocol="org.apache.coyote.http11.Http11NioProtocol" connectionTimeout="20000" redirectP
ort="8888" server="隐藏版本信息(英文)" maxPostSize="-1"/>

2、ngnix修改版本信息

Nginx隐藏响应头信息的Server信息和版本信息

参考

浅谈http中的Cache-Control

安全工具 | 利用curl 突破服务器限制，进行安全渗透测试

临时简单手段：简单的禁止CURL 访问服务器nginx