Defaults.Exposed

Defaults.Exposed › প্রতিবেদন

আপনার সার্ভার হেডার আক্রমণকারীদের কী বলে: স্ট্যাক-ডিসক্লোজার রিপোর্ট (২০২৬)

প্রকাশিত 2026-06-29

পরিসংখ্যান 2026-06-29 পর্যন্ত · মেথডলজি v7। পর্যবেক্ষিত HTTP রেসপন্স হেডার (Server, X-Powered-By) থেকে সমষ্টিগত সেন্সাস ডেটা। দেখুন আমরা কীভাবে গ্রেড করি

বেশিরভাগ ওয়েব স্বেচ্ছায় তার চলানো কী বলে: 71.4% সাইট রেসপন্স হেডারে তাদের ওয়েব সার্ভারের নাম দেয়, এবং 8.1% আরও এগিয়ে যায় এবং তাদের অ্যাপ্লিকেশন স্ট্যাক প্রকাশ করে — প্রায়ই সঠিক ভার্সন সহ। এর কোনোটিই প্রয়োজনীয় নয়, এবং এর প্রতিটি বিট কী লক্ষ্য করবে তা সিদ্ধান্ত নেওয়া একজন আক্রমণকারীর জন্য একটি বিনামূল্যের ইঙ্গিত। ভার্সন ডিসক্লোজার সবচেয়ে খারাপ: end-of-life সফটওয়্যারের বিজ্ঞাপন দেওয়া একটি হেডার একটি আমন্ত্রণ।

ওয়েব কী ঘোষণা করে

Server হেডার ওয়েব সার্ভার সফটওয়্যারের নাম দেয়। 2026-06-29 পর্যন্ত, 71.4% সাইটের মধ্যে সবচেয়ে সাধারণ মানগুলো যারা একটি পাঠায়:

Server হেডারএকটি পাঠানো সাইটের অংশ
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

সার্ভারের নাম একা কম ঝুঁকিপূর্ণ। বাস্তব এক্সপোজার হলো X-Powered-By, যা 8.1% সাইট পাঠায় — এবং যা প্রায়শই একটি সঠিক ভার্সন অন্তর্ভুক্ত করে। সবচেয়ে সাধারণ মানগুলোতে asp.net এবং php/7.4.33 এর মতো নির্দিষ্ট PHP বিল্ড অন্তর্ভুক্ত।

কেন ভার্সন ডিসক্লোজার গুরুত্বপূর্ণ

একটি পরিচিত দুর্বলতার জন্য ইন্টারনেট স্ক্যান করা একজন আক্রমণকারী ঠিক এই হেডারগুলো দ্বারা ফিল্টার করে। php/7.4.33 বিজ্ঞাপন দেওয়া একটি সাইট — একটি end-of-life PHP ভার্সন যা আর সিকিউরিটি প্যাচ পায় না — প্রতিটি স্ক্যানারকে বলছে এটি শোষণযোগ্য হতে পারে, একটি একক প্রোব ছাড়াই। ডিসক্লোজার দুর্বলতা তৈরি করে না, কিন্তু এটি আক্রমণকারীর রিকনেসাঁ খরচ সরিয়ে দেয় এবং একটি আনপ্যাচড সাইটকে তালিকার শীর্ষে নিয়ে যায়।

সংশোধনটি বিনামূল্যে এবং দর্শকদের জন্য কোনো অসুবিধা নেই: এই হেডারগুলো দমন বা সাধারণীকরণ করুন। পাবলিকের কাছে আপনার স্ট্যাক ভার্সন সম্প্রচার করার কোনো কার্যকরী কারণ নেই।

কীভাবে আপনার স্ট্যাক ফাঁস করা বন্ধ করবেন

১. X-Powered-By সম্পূর্ণরূপে সরান — এটি দর্শকদের জন্য কোনো উদ্দেশ্য পূরণ করে না। (PHP/আপনার ফ্রেমওয়ার্কে বা প্রক্সিতে হেডার-স্ট্রিপে একটি নির্দেশিকা।) ২. Server সাধারণীকরণ করুন — আপনার ওয়েব সার্ভার বা CDN-এ ভার্সন, বা হেডার স্ট্রিপ করুন। ৩. স্ট্যাক প্যাচ রাখুন যাইহোক — ভার্সন লুকানো সময় কেনে, এটি আপডেট করা প্রতিস্থাপন করে না। ৪. পুনরায় চেক করুন হেডারগুলো চলে গেছে কিনা নিশ্চিত করতে।

প্রায়শই জিজ্ঞাসিত প্রশ্ন

X-Powered-By হেডার কী? একটি রেসপন্স হেডার যা অ্যাপ্লিকেশন ফ্রেমওয়ার্ক এবং প্রায়শই তার সঠিক ভার্সন বিজ্ঞাপন দেয় (যেমন একটি নির্দিষ্ট PHP বিল্ড)। এটি ঐচ্ছিক এবং দর্শকদের কোনো সুবিধা প্রদান করে না — শুধু আক্রমণকারীদের কাছে। 8.1% সাইট একটি পাঠায়।

আমার সার্ভার সফটওয়্যার প্রকাশ করা কি একটি দুর্বলতা? নিজেই নয়, কিন্তু এটি তথ্য ডিসক্লোজার: এটি আক্রমণকারীদের আপনার নির্দিষ্ট স্ট্যাক এবং ভার্সনে পরিচিত দুর্বলতার জন্য ফিল্টার করতে দেয়, তাদের রিকনেসাঁ শূন্যে কমিয়ে। সর্বোত্তম অনুশীলন হলো এটি দমন করা।

আমার কি Server হেডার লুকানো উচিত? এটি সাধারণীকরণ (ভার্সন বাদ দেওয়া) ভালো অনুশীলন। বড় জয় হলো X-Powered-By সরানো এবং সফটওয়্যার প্যাচ করা।

এটি কি SEO বা দর্শকদের ক্ষতি করে? না। এই হেডারগুলো ব্যবহারকারীদের কাছে অদৃশ্য এবং সার্চ ইঞ্জিনের কাছে অপ্রাসঙ্গিক। সেগুলো সরানো সম্পূর্ণরূপে ইতিবাচক।

আপনার হেডার কী প্রকাশ করে চেক করুন

আপনার সাইট ঠিক কী ঘোষণা করে দেখুন — এবং কী স্ট্রিপ করবেন — বিনামূল্যে এবং ব্যক্তিগতভাবে।

আপনার ডোমেইন চেক করুন → · HTTP সিকিউরিটি হেডার রিপোর্ট কার্ড → · শুধুমাত্র সমষ্টিগত ডেটা। ইইউতে ডেটা সংরক্ষিত ও প্রক্রিয়াকৃত।