漏洞详情
使用Nginx部署应用程序,请求中默认会返回Nginx版本信息,攻击者可以根据版本号来了解相关漏洞并进行针对性攻击。
Nginx版本信息:
解决方法
使用 server_tokens off; 配置,配置项官网介绍:Module ngx_http_core_module
server_tokens是nginx在ngx_http_core_module中提供的一个功能,可以用来隐藏nginx版本号信息。
具体操作:在Nginx的配置文件中增加以下内容,然后重启Nginx服务。
server_tokens off; # nginx 默认没有该项配置示例:
也可以加在任意一个被使用到的conf配置文件中,如 /etc/nginx/conf.d/security.conf 。
参考文档
进一步隐藏nginx server头信息,可以将headers模块重新编译,参见:https://zhuanlan.zhihu.com/p/650113278
解决Tomcat的banner泄漏风险及禁用堆栈详情显示,参见:https://www.cnblogs.com/flyingeagle/articles/10680322.html
其他信息泄漏及解决方案,参见:https://blog.csdn.net/weixin_42427302/article/details/119432475