Defaults.Exposed

Defaults.Exposed › Доклади

Какво казват заглавките на сървъра ви на атакуващите: Докладът за разкриване на стека (2026)

Публикувано 2026-06-29

Данни към 2026-06-29 · методология v7. Агрегирани данни от преброяването от наблюдавани HTTP отговорни заглавки (Server, X-Powered-By). Вижте как оценяваме.

По-голямата част от мрежата доброволно казва какво работи: 71.4% от сайтовете назовават уеб сървъра си в отговорните заглавки, а 8.1% отиват по-далеч и разкриват стека на приложението — често с точната версия. Нищо от това не е необходимо и всеки бит от него е безплатен намек за атакуващ, решаващ какво да целенасочи. Разкриването на версията е най-лошото: заглавка, рекламираща софтуер с изтекъл срок на поддръжка, е покана.

Какво обявява мрежата

Заглавката Server назовава уеб сървърния софтуер. Към 2026-06-29, най-честите стойности сред 71.4% от сайтовете, изпращащи такава:

Заглавка ServerДял от сайтовете, изпращащи такава
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

Само името на сървъра е нисък риск. Реалното излагане е X-Powered-By, изпращан от 8.1% от сайтовете — и често включващ точна версия. Най-честите стойности включват asp.net и конкретни PHP компилации като php/7.4.33.

Защо разкриването на версията има значение

Атакуващ, сканиращ интернет за известна уязвимост, филтрира по точно тези заглавки. Сайт, рекламиращ php/7.4.33версия на PHP с изтекъл срок на поддръжка, вече не получаваща пачове за сигурност — казва на всеки скенер, че може да е уязвим, преди дори едно сондиране. Разкриването не създава уязвимостта, но премахва разузнавателния разход на атакуващия и поставя непоправен сайт на върха на списъка.

Поправката е безплатна и няма недостатъци за посетителите: потиснете или обобщете тези заглавки. Няма функционална причина да излъчвате версията на стека си към обществеността.

Как да спрете да изтичате стека си

  1. Премахнете X-Powered-By изцяло — не служи за нищо на посетителите. (Една директива в PHP/фреймуърка или отстраняване на заглавка при проксито.)
  2. Обобщете Server — изчистете версията или заглавката при уеб сървъра или CDN.
  3. Пазете стека закърпен независимо — скриването на версията печели време, не замества актуализирането.
  4. Проверете отново, за да потвърдите, че заглавките са изчезнали.

Често задавани въпроси

Какво е заглавката X-Powered-By? Отговорна заглавка, рекламираща приложния фреймуърк и честo точната му версия (напр. конкретна PHP компилация). Тя е незадължителна и не предоставя никаква полза на посетителите — само на атакуващите. 8.1% от сайтовете изпращат такава.

Разкриването на сървърния ми софтуер уязвимост ли е? Не само по себе си, но е разкриване на информация: позволява на атакуващите да филтрират за известни уязвимости в конкретния ви стек и версия, намалявайки разузнаването им до нула. Добрата практика е да го потиснете.

Трябва ли да скрия заглавката Server? Обобщаването й (изпускане на версията) е добра практика. По-голямата печалба е премахването на X-Powered-By и поддържането на закърпен софтуер.

Наранява ли това SEO или посетителите? Не. Тези заглавки са невидими за потребителите и без значение за търсачките. Премахването им е само положително.

Проверете какво разкриват заглавките ви

Вижте точно какво обявява сайтът ви — и какво да изчистите — безплатно и поверително.

Проверете своя домейн → · Докладната карта за заглавки за HTTP сигурност → · Само агрегирани данни. Данните се съхраняват и обработват в ЕС.