文档章节

如何在 HTTP 头中隐藏 PHP 版本号

 刘景刘恒
发布于 2017/06/07 09:16
字数 745
阅读 5
收藏 0

摘要: PHP 配置默认允许服务器在 HTTP 响应头 X-Powered-By 中显示安装在服务器上的 PHP 版本。 出于服务器安全原因(虽然不是主要的要担心的威胁),建议你禁用或隐藏此信息,避免那些针对你的服务器的攻击者知道你是否运行了 PHP。

PHP 配置默认允许服务器在 HTTP 响应头 X-Powered-By 中显示安装在服务器上的 PHP 版本。

出于服务器安全原因(虽然不是主要的要担心的威胁),建议你禁用或隐藏此信息,避免那些针对你的服务器的攻击者知道你是否运行了 PHP。

假设你服务器上安装的特定版本的 PHP 具有安全漏洞,而攻击者了解到这一点,他们将更容易利用漏洞并通过脚本访问服务器。

在我以前的文章中,我已经展示了如何隐藏 apache 版本号,你已经看到如何不再显示 apache 的安装版本。但是如果你在你的 apache 服务器上运行 PHP,你还需要隐藏 PHP 的安装版本,这我们将在本文中展示。

因此,在本文中,我们将解释如何隐藏或关闭服务器 HTTP 响应头中的 PHP 版本号。

此设置可以在加载的 PHP 配置文件中配置。如果你不知道此配置文件在服务器上的位置,请运行以下命令找到它:

 
  1. $ php -i | grep "Loaded Configuration File"

PHP 配置文件位置

 
  1. ---------------- 在 CentOS/RHEL/Fedora 上----------------
  2. Loaded Configuration File => /etc/php.ini
  3. ---------------- 在 Debian/Ubuntu/Linux Mint 上----------------
  4. Loaded Configuration File => /etc/php/7.0/cli/php.ini

在对 PHP 配置文件进行任何更改之前,我建议您首先备份您的 PHP 配置文件,如下所示:

 
  1. ----------------在 CentOS/RHEL/Fedora 上----------------
  2. $ sudo cp /etc/php.ini /etc/php.ini.orig
  3. ---------------- 在 Debian/Ubuntu/Linux Mint 上----------------
  4. $ sudo cp /etc/php/7.0/cli/php.ini /etc/php/7.0/cli/php.ini.orig

用你最喜欢的编辑器,使用超级用户权限打开文件:

 
  1. ---------------- 在 CentOS/RHEL/Fedora 上----------------
  2. $ sudo vi /etc/php.ini
  3. ----------------在 Debian/Ubuntu/Linux Mint 上----------------
  4. $ sudo vi /etc/php/7.0/cli/php.ini

定位到关键词 expose_php,并将值设置成 Off

 
  1. expose_php = Off

保存并退出文件。之后,重启 web 服务器:

 
  1. ---------------- 使用 SystemD ----------------
  2. $ sudo systemctl restart httpd
  3. $ sudo systemctl restart apache2
  4. ---------------- 使用 SysVInit ----------------
  5. $ sudo service httpd restart
  6. $ sudo service apache2 restart

最后,不过同样重要,使用下面的命令检查服务器 HTTP 响应头是否仍然显示你的 PHP 版本号。

 
  1. $ lynx -head -mime_header http://localhost
  2. 或者
  3. $ lynx -head -mime_header http://server-address

这里的标志含义是:

  • -head – 发送一个请求 mime 报头的 HEAD 请求。
  • -mime_header – 打印所提取文档的 MIME 标头及其源代码。

注意: 确保你系统中已经安装了命令行 web 浏览器 lynx。


更多PHP相关技术请搜索千锋PHP,做真实的自己,用良心做教育。

互联网+时代,时刻要保持学习,携手千锋PHP,Dream It Possible。

© 著作权归作者所有

粉丝 1
博文 172
码字总数 139067
作品 0
私信 提问
Apache和php 隐藏头信息

一、apache apache 的 httpd.conf 有两个配置可以控制是否显示服务器信息给用户。 ServerTokens ServerSignature 默认条件下会把apache版本 系统 模块都显示出来 (HTTP 返回头) 设置为: Se...

老牛
2011/01/17
527
0
如何在Linux服务器中隐藏PHP版本

通常,大多数默认设置安装的web服务器存在信息泄露,这其中之一就是PHP。PHP 是如今流行的服务端html嵌入式语言(之一?)。在如今这个充满挑战的时代,有许多攻击者会尝试发现你服务端的漏洞...

酱醋茶丶
2015/11/13
55
0
隐藏或者修改nginx信息

细节决定成败,服务器的安全也是这样!隐藏或者修改nginx的信息,不是什么炫酷的技能,只是nginx设置中的一个小小的细节。 Http中的Nginx版本信息 查看http请求的response里面的header我们会...

yearnfar
2015/09/30
2.8K
2
Web 安全:隐藏服务版本号

前述 为了防止一些恶意用户对 apache、nginx、php 等显示出来的版本信息进行攻击,生产环境需要关闭 web 服务的版本信息; apache 隐藏版本号 修改 httpd.conf,添加如下: ServerTokens Pro...

诸葛孔明亮
2016/10/09
71
0
nginx报错“No input file specified”

最近买了台海外的vps做vpn,使用一键lnmp后改了一下nginx的配置文件,测试php页面发现返回“No input file specified”,查站点日志报错如下状态码是404,提示找不到该文件,但在站点目录下确...

dorebmoon
2017/12/15
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Spring Cloud Alibaba 实战(二) - 关于Spring Boot你不可不知道的实情

0 相关源码 1 什么是Spring Boot 一个快速开发的脚手架 作用 快速创建独立的、生产级的基于Spring的应用程序 特性 无需部署WAR文件 提供starter简化配置 尽可能自动配置Spring以及第三方库 ...

JavaEdge
今天
7
0
TensorFlow 机器学习秘籍中文第二版(初稿)

TensorFlow 入门 介绍 TensorFlow 如何工作 声明变量和张量 使用占位符和变量 使用矩阵 声明操作符 实现激活函数 使用数据源 其他资源 TensorFlow 的方式 介绍 计算图中的操作 对嵌套操作分层...

ApacheCN_飞龙
今天
7
0
五、Java设计模式之迪米特原则

定义:一个对象应该对其他对象保持最小的了解,又叫最小知道原则 尽量降低类与类之间的耦合 优点:降低类之间的耦合 强调只和朋友交流,不和陌生人说话 朋友:出现在成员变量、方法的输入、输...

东风破2019
昨天
23
0
jvm虚拟机结构

1:jvm可操作数据类型分为原始类型和引用类型,因此存在原始值和引用值被应用在赋值,参数,返回和运算操作中,jvm希望在运行时 明确变量的类型,即编译器编译成class文件需要对变量进行类型...

xpp_ba
昨天
5
0
聊聊nacos Service的processClientBeat

序 本文主要研究一下nacos Service的processClientBeat Service.processClientBeat nacos-1.1.3/naming/src/main/java/com/alibaba/nacos/naming/core/Service.java public class Service ex......

go4it
昨天
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部