jjzjj

nginx安全优化之隐藏版本

Evanchn 2023-03-28 原文
安全一直是互联网不可忽视的问题,今天介绍下nginx隐藏版本,别人不清楚你的版本,就无法使用针对nginx的漏洞进行攻击。nginx软件是开源的但是源码中也携带版本信息,可以修改源代码进行隐藏版本信息。


版本显示

[root@evanlinux ~]# curl -I 192.168.1.7|grep Server             

Server: nginx/1.8.1 #nginx的软件版本信息


51CTO的web容器版本

[root@evanlinux nginx-1.8.1]# curl -I www.51cto.com|grep Server

Server: Tengine   #隐藏了版本信息

隐藏了版本,让版本漏洞无法使用


修改nginx源代码来隐藏nginx版本信息

文件1 "nginx-1.8.1/src/core/nginx.h" 12行-23行

原配置文件

[root@evanlinux tools]# sed -n '12,23p' nginx-1.8.1/src/core/nginx.h  

#define nginx_version      1008001

#define NGINX_VERSION      "1.8.1"  #修改想要显示的版本如:2.2.23

#define NGINX_VER          "nginx/" NGINX_VERSION 

                          #将nginx修改成想要显示的软件名称

#ifdef NGX_BUILD

#define NGINX_VER_BUILD    NGINX_VER " (" NGX_BUILD ")"

#else

#define NGINX_VER_BUILD    NGINX_VER

#endif


#define NGINX_VAR          "NGINX" #将nginx修改成想要显示的软件名称(Evan Web Server)

#define NGX_OLDPID_EXT     ".oldbin"

修改后

[root@evanlinux tools]# sed -n '12,23p' nginx-1.8.1/src/core/nginx.h

#define nginx_version      1008001

#define NGINX_VERSION      "2.2.23" #版本修改为2.2.23

#define NGINX_VER          "EWS/" NGINX_VERSION

#nginx修改为EWS

#ifdef NGX_BUILD

#define NGINX_VER_BUILD    NGINX_VER " (" NGX_BUILD ")"

#else

#define NGINX_VER_BUILD    NGINX_VER

#endif


#define NGINX_VAR          "EWS" #nginx修改为EWS

#define NGX_OLDPID_EXT     ".oldbin" 


文件2 "nginx-1.8.1/src/http/ngx_http_header_filter_module.c" 49行

源文件

[root@evanlinux tools]# sed -n '49p' nginx-1.8.1/src/http/ngx_http_header_filter_module.c 

static char ngx_http_server_string[] = "Server: nginx" CRLF;  #将nginx修改为想要的版本

修改后

[root@evanlinux tools]# sed -n '49p' nginx-1.8.1/src/http/ngx_http_header_filter_module.c 

static char ngx_http_server_string[] = "Server: EWS" CRLF;   #将nginx修改为了EWS


修改链接错误的版本显示

错误链接网站显示

访问错误的链接也有暴露版本信息的危险


文件3 "nginx-1.8.1/src/http/ngx_http_special_response.c" 29行

源文件

[root@evanlinux tools]# sed -n '21,31p' nginx-1.8.1/src/http/ngx_http_special_response.c

"<hr><center>nginx</center>" CRLF  #将nginx修改为想要的版本信息

修改后

[root@evanlinux tools]# sed -n '29p' nginx-1.8.1/src/http/ngx_http_special_response.c    

"<hr><center>EWS</center>" CRLF


重新编译安装,可以看到如下效果

编译安装方法:http://iywdd.blog.51cto.com/11177578/1767529


版本信息

[root@evanlinux nginx-1.8.1]# curl -I 192.168.1.7

HTTP/1.1 200 OK

Server: EWS/2.2.23   #更改为EWS/2.2.23 

Date: Thu, 07 Apr 2016 11:51:41 GMT

Content-Type: text/html

Content-Length: 612

Last-Modified: Thu, 07 Apr 2016 11:50:40 GMT

Connection: keep-alive

ETag: "57064990-264"

Accept-Ranges: bytes


错误链接修改后结果


访问错误的链接更改了版本信息

nginx安全nbspspannginxNginx服务器

有关nginx安全优化之隐藏版本的更多相关文章

  1. ruby-on-rails - 如何优雅地重启 thin + nginx? - 2

    我的瘦服务器配置了nginx,我的ROR应用程序正在它们上运行。在我发布代码更新时运行thinrestart会给我的应用程序带来一些停机时间。我试图弄清楚如何优雅地重启正在运行的Thin实例,但找不到好的解决方案。有没有人能做到这一点? 最佳答案 #Restartjustthethinserverdescribedbythatconfigsudothin-C/etc/thin/mysite.ymlrestartNginx将继续运行并代理请求。如果您将Nginx设置为使用多个上游服务器,例如server{listen80;server

  2. ruby - 如何使用 Ruby aws/s3 Gem 生成安全 URL 以从 s3 下载文件 - 2

    我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A

  3. ruby-on-rails - 项目升级后 Pow 不会更改 ruby​​ 版本 - 2

    我在我的Rails项目中使用Pow和powifygem。现在我尝试升级我的ruby​​版本(从1.9.3到2.0.0,我使用RVM)当我切换ruby​​版本、安装所有gem依赖项时,我通过运行railss并访问localhost:3000确保该应用程序正常运行以前,我通过使用pow访问http://my_app.dev来浏览我的应用程序。升级后,由于错误Bundler::RubyVersionMismatch:YourRubyversionis1.9.3,butyourGemfilespecified2.0.0,此url不起作用我尝试过的:重新创建pow应用程序重启pow服务器更新战俘

  4. ruby-on-rails - 在 ruby​​ .gemspec 文件中,如何指定依赖项的多个版本? - 2

    我正在尝试修改当前依赖于定义为activeresource的gem:s.add_dependency"activeresource","~>3.0"为了让gem与Rails4一起工作,我需要扩展依赖关系以与activeresource的版本3或4一起工作。我不想简单地添加以下内容,因为它可能会在以后引起问题:s.add_dependency"activeresource",">=3.0"有没有办法指定可接受版本的列表?~>3.0还是~>4.0? 最佳答案 根据thedocumentation,如果你想要3到4之间的所有版本,你可以这

  5. ruby-on-rails - 如果我将 ruby​​ 版本 2.5.1 与 rails 版本 2.3.18 一起使用会怎样? - 2

    如果我使用ruby​​版本2.5.1和Rails版本2.3.18会怎样?我有基于rails2.3.18和ruby​​1.9.2p320构建的rails应用程序,我只想升级ruby的版本,而不是rails,这可能吗?我必须面对哪些挑战? 最佳答案 GitHub维护apublicfork它有针对旧Rails版本的分支,有各种变化,它们一直在运行。有一段时间,他们在较新的Ruby版本上运行较旧的Rails版本,而不是最初支持的版本,因此您可能会发现一些关于需要向后移植的有用提示。不过,他们现在已经有几年没有使用2.3了,所以充其量只能让更

  6. ruby-on-rails - 获取 inf-ruby 以使用 ruby​​ 版本管理器 (rvm) - 2

    我安装了ruby​​版本管理器,并将RVM安装的ruby​​实现设置为默认值,这样'哪个ruby'显示'~/.rvm/ruby-1.8.6-p383/bin/ruby'但是当我在emacs中打开inf-ruby缓冲区时,它使用安装在/usr/bin中的ruby​​。有没有办法让emacs像shell一样尊重ruby​​的路径?谢谢! 最佳答案 我创建了一个emacs扩展来将rvm集成到emacs中。如果您有兴趣,可以在这里获取:http://github.com/senny/rvm.el

  7. ruby - 如何安全地删除文件? - 2

    在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?

  8. ruby-on-rails - 如何在发布新的 Ruby 或 Rails 版本时收到通知? - 2

    有人知道在发布新版本的Ruby和Rails时收到电子邮件的方法吗?他们有邮件列表,RubyonRails有一个推特,但我不想听到那些随之而来的喧嚣,我只想知道什么时候发布新版本,尤其是那些有安全修复的版本。 最佳答案 从therailsblog获取提要.http://weblog.rubyonrails.org/feed/atom.xml 关于ruby-on-rails-如何在发布新的Ruby或Rails版本时收到通知?,我们在StackOverflow上找到一个类似的问题:

  9. 【鸿蒙应用开发系列】- 获取系统设备信息以及版本API兼容调用方式 - 2

    在应用开发中,有时候我们需要获取系统的设备信息,用于数据上报和行为分析。那在鸿蒙系统中,我们应该怎么去获取设备的系统信息呢,比如说获取手机的系统版本号、手机的制造商、手机型号等数据。1、获取方式这里分为两种情况,一种是设备信息的获取,一种是系统信息的获取。1.1、获取设备信息获取设备信息,鸿蒙的SDK包为我们提供了DeviceInfo类,通过该类的一些静态方法,可以获取设备信息,DeviceInfo类的包路径为:ohos.system.DeviceInfo.具体的方法如下:ModifierandTypeMethodDescriptionstatic StringgetAbiList​()Obt

  10. ruby - 用 YAML.load 解析 json 安全吗? - 2

    我正在使用ruby2.1.0我有一个json文件。例如:test.json{"item":[{"apple":1},{"banana":2}]}用YAML.load加载这个文件安全吗?YAML.load(File.read('test.json'))我正在尝试加载一个json或yaml格式的文件。 最佳答案 YAML可以加载JSONYAML.load('{"something":"test","other":4}')=>{"something"=>"test","other"=>4}JSON将无法加载YAML。JSON.load("

随机推荐