我有回應HEAD /請求以下回應的 Web 服務器:
HTTP/1.1 200 OK
Server: Apache/2.4.7 (Ubuntu)
X-Powered-By: PHP/5.5.9-1ubuntu4.26
....
是否可以使用這些 HTTP 回應標頭(Apache/PHP 版本)知道 Ubuntu 版本是什么?
uj5u.com熱心網友回復:
“5.5.9-1ubuntu4.26”是安裝的 PHP 包的版本。Debian/Ubuntu 版本標注方案比較復雜,具體我也不清楚,但基本都是“PHP 版本 5.5.9,Debian/Ubuntu 包版本 1 / 4.26”。
首先,請注意,這對攻擊者來說比了解基本作業系統版本更有價值——如果這不是最新的補丁,他們可以立即知道您仍然容易受到哪些安全漏洞的攻擊。
其次,雖然我不知道最有效的搜索方式,但所有軟體包版本都列在https://launchpad.net/以及它們兼容的 Ubuntu 版本上。可以在多個基本作業系統上安裝相同的軟體包版本,但當然可以將其縮小到候選串列。
第三,PHP 5.5 現在已經非常老了——它的最后一個官方補丁是 5 年半前的——它可能存在安全問題,無法在 Debian/Ubuntu 補丁中修復這些問題。因此,無論補丁版本如何,透露您正在運行該版本可能對攻擊者來說都是有用的資訊。
修復非常簡單:PHP 有一個名為expose_php. 將此設定為Off,X-Powered-By標題將被完全洗掉。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/442350.html
上一篇:嵌套URL的Apache2.htaccess重寫規則不起作用
下一篇:匯出具有動態陣列名稱的陣列