nginx版本号隐藏(附405 not allowed解决办法)
更新时间:2023年10月10日 08:51:46 作者:阿乐今天敲代码没
版本号泄露时攻击者会利用相应软件版本的当前漏洞,进行有效的相应攻击,本文主要介绍了nginx版本号隐藏,具有一定的参考价值,感兴趣的可以了解一下
背景
项目安全测试发现405页面暴露了nginx版本,其相关版本号泄露时攻击者会利用相应软件版本的当前漏洞,进行有效的相应攻击。所以需要我们做好版本号的隐藏。
解决办法
1.nginx版本隐藏
只需要我们在nginx.conf文件的server中添加server_tokens off,例如
server {
listen 80;
server_tokens off;
location / {
...
}
}2. 405 not allowed解决办法
虽然server_tokens off;已经将版本号隐藏,但是405页面依旧暴露了版本号,这已然是有问题的。
网上通用的方法讲的不够详细,下面的方法亲测有效。我这边采用的是405时与200等效处理,避免405页面的展示,或者你也可以转发到其他静态页面也是ok的。
例如
server {
listen 80;
server_tokens off;
location / {
proxy_intercept_errors on; #必须配置这行命令,否则不会生效
error_page 405 =200 @405;
}
location @405 {
proxy_pass http://+转发的后端ip+端口号+$request_uri;
#例如proxy_pass http://127.0.0.1:3000$request_uri;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}效果
或者转发到302也是ok的,效果如下
到此这篇关于nginx版本号隐藏(附405 not allowed解决办法)的文章就介绍到这了,更多相关nginx版本号隐藏内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
这篇文章主要为大家介绍了nginx gzip 动态静态压缩实现详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2023-03-03
nginx配置中$http_host、$host、$host:$proxy_port和$host:$server_por
nginx为了实现反向代理的需求而增加了一个ngx_http_proxy_module模块,其中proxy_set_header指令就是该模块需要读取的配置文件,这篇文章主要介绍了nginx配置中$http_host、$host、$host:$proxy_port和$host:$server_port区别,需要的朋友可以参考下2024-03-03
这篇文章主要介绍了分布式限流之Nginx层限流方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2024-08-08
这篇文章主要介绍了Nginx服务器限制访问速度的配置方法,尤其是当服务器中存在ftp下载等服务时尤为有用,需要的朋友可以参考下2015-07-07
这篇文章主要给大家介绍了关于Nginx中虚拟主机的一些冷门知识,文中通过图文以及实例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2022-03-03
Nginx缓存的设置可以提高网站性能,对于网站的图片,尤其是新闻网站,下面这篇文章主要给大家介绍了关于nginx网页缓存时间的配置过程,文中通过图文介绍的非常详细,需要的朋友可以参考下2022-01-01
这篇文章主要介绍了配置Nginx服务器防止Flood攻击的方法,包括PHP的应用请求限制等降低负载的措施,需要的朋友可以参考下2015-06-06
最近使用老师给的nginx.exe时,点击nginx.exe突然屏幕就闪一下,经过一番排查,发现是端口被占用所导致的,所以本文就给大家讲讲端口被占用时的解决方法详细步骤,需要的朋友可以参考下2023-07-07
这篇文章主要介绍了nginx使用openssl自签名实现https登录,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2023-08-08
这篇文章主要给大家介绍了关于nginx的安装以及简单配置的相关资料,以下是nginx在各种环境条件下的安装与配置过程,其中还分析了中间遇到的坑以及处理方式,需要的朋友可以参考下2023-08-08
最新评论