【漏洞修复】Web服务器HTTP设置漏洞

文章目录

  • Web服务器HTTP设置漏洞
    • Web服务器HTTP头信息公开
    • 默认的nginx HTTP服务器设置
    • Web服务器错误页面信息泄露
  • 修复方案
  • 服务验证


Web服务器HTTP设置漏洞

Web服务器HTTP头信息公开

远程Web服务器发送的HTTP标头公开了可以帮助攻击者的信息,例如Web服务器使用的服务器版本和语言。

默认的nginx HTTP服务器设置

远程网络服务器包含默认设置,例如启用的服务器令牌和/或默认文件,例如默认索引或错误页面。这些项目可能会泄漏有关服务器安装的有用信息。

Web服务器错误页面信息泄露

远程Web服务器发送的默认错误页面公开了可以帮助攻击者的信息,例如Web服务器使用的服务器版本和语言。

修复方案

修改Nginx配置文件,http域中添加如下配置:

server_tokens off;
add_header X-Frame-Options DENY;
add_header X-XSS-Protection  "1; mode=block";
add_header X-Content-Type-Options nosniff;

【漏洞修复】Web服务器HTTP设置漏洞_第1张图片

服务验证

【漏洞修复】Web服务器HTTP设置漏洞_第2张图片
【漏洞修复】Web服务器HTTP设置漏洞_第3张图片

你可能感兴趣的:(服务器配置,服务器,前端,http)