nginx版本号隐藏(附405 not allowed解决办法)
更新时间:2023年10月10日 08:51:46 作者:阿乐今天敲代码没
版本号泄露时攻击者会利用相应软件版本的当前漏洞,进行有效的相应攻击,本文主要介绍了nginx版本号隐藏,具有一定的参考价值,感兴趣的可以了解一下
背景
项目安全测试发现405页面暴露了nginx版本,其相关版本号泄露时攻击者会利用相应软件版本的当前漏洞,进行有效的相应攻击。所以需要我们做好版本号的隐藏。
解决办法
1.nginx版本隐藏
只需要我们在nginx.conf文件的server中添加server_tokens off,例如
server {
listen 80;
server_tokens off;
location / {
...
}
}2. 405 not allowed解决办法
虽然server_tokens off;已经将版本号隐藏,但是405页面依旧暴露了版本号,这已然是有问题的。
网上通用的方法讲的不够详细,下面的方法亲测有效。我这边采用的是405时与200等效处理,避免405页面的展示,或者你也可以转发到其他静态页面也是ok的。
例如
server {
listen 80;
server_tokens off;
location / {
proxy_intercept_errors on; #必须配置这行命令,否则不会生效
error_page 405 =200 @405;
}
location @405 {
proxy_pass http://+转发的后端ip+端口号+$request_uri;
#例如proxy_pass http://127.0.0.1:3000$request_uri;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}效果
或者转发到302也是ok的,效果如下
到此这篇关于nginx版本号隐藏(附405 not allowed解决办法)的文章就介绍到这了,更多相关nginx版本号隐藏内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
OpenResty是什么,OpenResty和Nginx的区别?
Nginx作为一款轻量级、高性能的Web服务器,传统局限性也很明显:静态配置、逻辑扩展依赖C模块开发,使得它在需要动态业务逻辑的场景中显得捉襟见肘,<BR>而OpenResty的出现,打破了这一僵局,它通过将Lua脚本深度集成到Nginx中,将“静态代理服务器”升级为“动态应用平台”2025-04-04
这篇文章主要为大家详细介绍了Nginx由于反向代理导致502错误的原因和相关的解决方法,文中的示例代码讲解详细,有需要的小伙伴可以参考一下2025-04-04
Nginx功能丰富,可作为HTTP服务器,也可作为反向代理服务器,邮件服务器。支持FastCGI、SSL、Virtual Host、URL Rewrite、Gzip等功能2017-05-05
相信做过awstats的都用过开源的geoip.dat ip数据库,刚好nginx wiki上有geoip 模块,这样就可以实现地区性的负载均衡,但是maxmind 的ip数据库对中国的支持不算太好,不过现在也不错了~2010-12-12
这篇文章主要介绍了解决nginx重新加载配置文件,配置文件没生效问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2024-06-06
这篇文章主要介绍了升级nginx支持HTTP/2服务端推送的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2018-05-05
这篇文章主要介绍了win10安装配置nginx的过程,帮助大家更好的理解和使用nginx服务器,感兴趣的朋友可以了解下2020-10-10
这篇文章主要介绍了Nginx本地目录映射实现代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2020-10-10
Nginx 502 Bad Gateway错误常见的4种原因和解决方法
这篇文章主要介绍了Nginx 502 Bad Gateway错误常见的4种原因和解决方法,本文适用FastCGI环境,其中多数原因通过配置相关参数即可解决,需要的朋友可以参考下2015-05-05
这篇文章给大家介绍了Nginx 出现 403 Forbidden 最终解决方法,下面分步骤给大家介绍的非常详细,感兴趣的的朋友一起看看吧2017-08-08
最新评论