隱藏 Server 版本

隱藏 Server 版本

雖然 Server 的版本並不是什麼天大的祕密來

但之所以被人注目

是因為有某些嚴重的 BUG 只會在特定的版本上出現

如果有心人想 hack 你 , 他應該會好想知你用的是什麼版本

不過話分兩頭 , 就算唔知版本亦對他沒有太大的影響,

因為有心人會續個 bug 去試 , 直去 hack 入為止 = , = |||

如何知版本 ?

telnet datahunter.servehttp.com 80

GET / HTTP/1.1

[enter] [enter]

之後版本資訊就出現了 ^^

HTTP/1.1 400 Bad Request
Date: Wed, 09 Jan 2008 13:54:50 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch9
Content-Length: 318
Connection: close
Content-Type: text/html; charset=iso-8859-1

如何不顯示版本 ?

修改

/etc/apache2/apache2.conf

ServerTokens Full

改成

ServerTokens Prod

OS: Server: Apache/2.0.41 (Unix)
Prod: Server: Apache

Output

ServerTokens Prod[uctOnly]                #    Server sends (e.g.): Server: Apache

ServerTokens Major                            #    Server sends (e.g.): Server: Apache/2

ServerTokens Minor                            #    Server sends (e.g.): Server: Apache/2.0

ServerTokens Min[imal]                       #    Server sends (e.g.): Server: Apache/2.0.41

ServerTokens OS                                 #    Server sends (e.g.): Server: Apache/2.0.41 (Unix)

ServerTokens Full (or not specified)      #    Server sends (e.g.): Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2