背景

当使用nginx做为web服务器时,在头部信息会看到版本号相关的信息,在安全扫描的时候会扫出来,要求不能显示nginx版本,避免根据已知的版本的nginx的特有漏洞从漏洞信息中获取该版本的攻击方式并进行攻击。

修改方法

  • nginx版本:1.14.2

隐藏nginx版本信息

在nginx.conf的http里面加server_tokens off;,重载nginx配置,就可以隐藏版本号。

隐藏Response Headers中server信息

实现方案 : 需要重新编译nginx

停止当前的nginx,进入解压出来的nginx 源码 目录(不是nginx的安装目录)

vi src/http/ngx_http_header_filter_module.c # 49-50行

编辑:

原内容:
static char ngx_http_server_string[] = "Server: nginx" CRLF;
static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;

更改为:
static char ngx_http_server_string[] = "Server: Xacp-Web" CRLF;
static char ngx_http_server_full_string[] = "Server: Xacp-Web " CRLF;

修改完后重新编译nginx,启动nginx;

再看Response Headers里面Server信息变成了自定义的名字,不再显示nginx信息了,如下:

Response Headers

Connection: keep-alive
Date: Mon, 21 Jan 2019 03:41:42 GMT
ETag: "5c453d16-264"
Last-Modified: Mon, 21 Jan 2019 03:31:34 GMT
Server: Xacp-Web

隐藏默认错误页面显示

停止当前的nginx,进入解压出来的nginx 源码 目录(不是nginx的安装目录)

vi src/http/ngx_http_special_response.c #36行

编辑:

原内容:
static u_char ngx_http_error_tail[] =
"<hr><center>nginx</center>" CRLF
"</body>" CRLF
"</html>" CRLF

更改为:
static u_char ngx_http_error_tail[] =
"<hr><center>Xacp-Web</center>" CRLF
"</body>" CRLF
"</html>" CRLF

修改完后重新编译nginx,启动nginx;

随便输入一个nginx上不存在的url路径,查看返回的错误页面已经更改,不再返回nginx信息。

隐藏tomcat版本号

既然提到了nginx隐藏版本号,顺便记录下tomcat的版本号的方法;

在Tomcat的使用中每当发生HTTP错误(未找到错误等)时显示错误页脚,由于版本信息显示在错误屏幕上或者Apache Tomcat的版本信息会显示在部件中,就可以从根据已知的版本的Tomcat的特有漏洞从漏洞信息中获取该版本的攻击方式并进行攻击。

首先将Tomcat解压后找到它的lib文件夹下的catalina.jar,用winrar把catalina.jar里面的/org/apache/catalina/util/ServerInfo.properties文件拖出来;

修改方法:

vi ServerInfo.properties

#原配置
server.info=Apache Tomcat/8.5.23
server.number=8.5.23.0
server.built=Sep 28 2017 10:30:11 UTC
#修改成
#把server.info后面的/版本号删掉,把server.number、server.built后面的信息删掉
server.info=Apache Tomcat
server.number=
server.built=

保存后,用winrar打开catalina.jar,把ServerInfo.properties拖进目录/org/apache/catalina/util/替换之前的配置文件,重启tomcat即可。

  • 备注

linux下可以直接用vi操作,操作方式如下:

vi catalina.jar

搜索ServerInfo,找到ServerInfo.properties,回车进去修改,修改完成后:wq即可;