Knowledge Base

Утечка версии сервера через Server и X-Powered-By

Зачем скрывать версию

Категория: HTTP · Риск: low

Зачем скрывать версию

Атакующий использует точную версию для поиска публичных CVE. `nginx/1.18.0` → проверка известных уязвимостей за 30 секунд.

Nginx

# nginx.conf, блок http:
server_tokens off;

Apache

# /etc/apache2/conf-enabled/security.conf
ServerTokens Prod
ServerSignature Off

PHP (X-Powered-By)

; php.ini
expose_php = Off

Express.js (Node.js)

app.disable('x-powered-by');
// или через helmet:
app.use(helmet());

Проверка

curl -sI https://example.com | grep -i server
# Ожидаем: Server: nginx  (без версии)

После изменения конфига: `nginx -t && nginx -s reload`.