Defaults.Exposed

Defaults.Exposed › Aruanded

Mida teie serveriräised ründajatele räägivad: pinu paljastamise aruanne (2026)

Avaldatud 2026-06-29

Andmed seisuga 2026-06-29 · metoodika v7. Koondatud loendusandmed vaadeldud HTTP vastusepäistest (Server, X-Powered-By). Vaadake kuidas me hindame.

Suurem osa veebist paljastab vabatahtlikult, mida ta käitab: 71.4% saitidest nimetab oma veebiserveri vastusepäistes ja 8.1% läheb veelgi kaugemale ja paljastab oma rakenduspinu — sageli täpse versiooniga. Miski sellest pole nõutav ja iga kübe sellest on tasuta vihje ründajale, kes otsustab, mida sihtida. Versiooni paljastamine on kõige hullem: päis, mis reklaamib eluea lõppu jõudnud tarkvara, on kutse.

Mida veeb teatab

Päis Server nimetab veebiserveri tarkvara. Seisuga 2026-06-29 on kõige levinumad väärtused nende 71.4% saitide seas, kes seda saadavad:

Server-päisOsakaal saitidest, kes seda saadavad
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

Serveri nimi üksinda on madala riskiga. Tegelik paljastus on X-Powered-By, mida saadab 8.1% saitidest — ja mis sageli sisaldab täpset versiooni. Kõige levinumad väärtused hõlmavad asp.net ja konkreetseid PHP ehitusi nagu php/7.4.33.

Miks versiooni paljastamine on oluline

Ründaja, kes skannib internetti teadaoleva haavatavuse leidmiseks, filtreerib täpselt nende päiste järgi. Sait, mis reklaamib php/7.4.33eluea lõppu jõudnud PHP versiooni, mis enam ei saa turvapaiku — ütleb igale skannerile, et see võib olla ärakasutatav, juba enne ühtainsat sondeerimist. Paljastamine ei loo haavatavust, kuid see eemaldab ründaja luure kulu ja viib paigaldamata saidi nimekirja tippu.

Parandus on tasuta ja sellel pole külastajatele ühtegi puudust: summutage või üldistage need päised. Pole mingit funktsionaalset põhjust oma pinu versiooni avalikult edastada.

Kuidas peatada oma pinu lekkimine

  1. Eemaldage X-Powered-By täielikult — see ei teeni külastajate jaoks mingit eesmärki. (Üks direktiiv PHP-s/teie raamistikus või päise eemaldamine puhverserveris.)
  2. Üldistage Server — eemaldage versioon või päis oma veebiserveris või CDN-is.
  3. Hoidke pinu igal juhul paigatud — versiooni peitmine ostab aega, see ei asenda värskendamist.
  4. Kontrollige uuesti, et kinnitada, et päised on kadunud.

Korduma kippuvad küsimused

Mis on X-Powered-By päis? Vastusepäis, mis reklaamib rakenduse raamistikku ja sageli selle täpset versiooni (nt konkreetne PHP ehitus). See on valikuline ega paku külastajatele mingit kasu — ainult ründajatele. 8.1% saitidest saadab seda.

Kas minu serveritarkvara paljastamine on haavatavus? Mitte iseenesest, kuid see on teabe paljastamine: see võimaldab ründajatel filtreerida teadaolevaid haavatavusi teie konkreetses pinus ja versioonis, vähendades nende luure nullini. Parim tava on see summutada.

Kas peaksin Server-päise peitma? Selle üldistamine (versiooni eemaldamine) on hea tava. Suurem võit on X-Powered-By eemaldamine ja tarkvara paigatuna hoidmine.

Kas see kahjustab SEO-d või külastajaid? Ei. Need päised on kasutajatele nähtamatud ja otsingumootoritele ebaolulised. Nende eemaldamine on puhtalt kasulik.

Kontrollige, mida teie päised paljastavad

Vaadake täpselt, mida teie sait teatab — ja mida eemaldada — tasuta ja privaatselt.

Kontrollige oma domeeni → · HTTP turvapäiste hinnetekaart → · Ainult koondandmed. Andmed salvestatakse ja töödeldakse ELis.