Defaults.Exposed › گزارشها
آنچه هدرهای سرور شما به مهاجمان میگوید: گزارش افشای پشتهٔ فناوری (۲۰۲۶)
منتشرشده 2026-06-29
ارقام تا تاریخ 2026-06-29 · روششناسی نسخه ۷. دادههای سرشماری تجمیعشده از سرآیندهای پاسخ HTTP مشاهدهشده (
Server،X-Powered-By). ببینید چگونه نمره میدهیم.
بیشتر وب داوطلبانه آنچه را که اجرا میکند فاش میکند: 71.4% از سایتها سرور وب خود را در سرآیندهای پاسخ نام میبرند، و 8.1% فراتر میروند و پشته برنامه خود را آشکار میکنند — اغلب با نسخه دقیق. هیچکدام از اینها الزامی نیست، و هر ذره از آن یک سرنخ رایگان برای مهاجمی است که تصمیم میگیرد چه چیزی را هدف قرار دهد. افشای نسخه بدترین آنهاست: سرآیندی که نرمافزار پایانعمر را تبلیغ میکند یک دعوتنامه است.
وب چه چیزی را اعلام میکند
سرآیند Server نرمافزار سرور وب را نام میبرد. تا تاریخ 2026-06-29، رایجترین مقادیر در میان 71.4% از سایتهایی که یکی را ارسال میکنند:
| سرآیند Server | سهم از سایتهایی که یکی را ارسال میکنند |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
نام سرور بهتنهایی کمخطر است. افشای واقعی X-Powered-By است، که 8.1% از سایتها آن را ارسال میکنند — و که اغلب شامل یک نسخه دقیق است. رایجترین مقادیر شامل asp.net و بیلدهای خاص PHP مانند php/7.4.33 میشود.
چرا افشای نسخه اهمیت دارد
مهاجمی که اینترنت را برای یک آسیبپذیری شناختهشده اسکن میکند، دقیقاً بر اساس همین سرآیندها فیلتر میکند. سایتی که php/7.4.33 را تبلیغ میکند — یک نسخه PHP پایانعمر که دیگر وصلههای امنیتی دریافت نمیکند — به هر اسکنری میگوید که ممکن است قابل بهرهبرداری باشد، پیش از یک کاوش واحد. افشا آسیبپذیری را ایجاد نمیکند، اما هزینه شناسایی مهاجم را حذف میکند و یک سایت وصلهنشده را به بالای فهرست منتقل میکند.
راهحل رایگان است و هیچ ضرری برای بازدیدکنندگان ندارد: این سرآیندها را سرکوب یا عمومی کنید. هیچ دلیل کارکردی برای پخش عمومی نسخه پشته شما وجود ندارد.
چگونه نشت پشته خود را متوقف کنید
X-Powered-Byرا بهطور کامل حذف کنید — هیچ هدفی برای بازدیدکنندگان ندارد. (یک دستورالعمل در PHP/فریمورک شما یا حذف سرآیند در پراکسی.)Serverرا عمومی کنید — نسخه، یا سرآیند، را در سرور وب یا CDN خود حذف کنید.- پشته را بههر حال وصلهشده نگه دارید — پنهان کردن نسخه زمان میخرد، جایگزین بهروزرسانی نمیشود.
- دوباره بررسی کنید تا تأیید کنید سرآیندها از بین رفتهاند.
پرسشهای متداول
سرآیند X-Powered-By چیست؟ یک سرآیند پاسخ که فریمورک برنامه و اغلب نسخه دقیق آن را تبلیغ میکند (مثلاً یک بیلد خاص PHP). اختیاری است و هیچ سودی برای بازدیدکنندگان ندارد — فقط برای مهاجمان. 8.1% از سایتها یکی را ارسال میکنند.
آیا آشکار کردن نرمافزار سرور من یک آسیبپذیری است؟ بهخودیخود نه، اما افشای اطلاعات است: به مهاجمان اجازه میدهد برای آسیبپذیریهای شناختهشده در پشته و نسخه خاص شما فیلتر کنند و شناسایی آنها را به صفر برسانند. بهترین روش سرکوب آن است.
آیا باید سرآیند Server را پنهان کنم؟
عمومی کردن آن (حذف نسخه) روش خوبی است. برد بزرگتر حذف X-Powered-By و بهروز نگه داشتن نرمافزار است.
آیا این به سئو یا بازدیدکنندگان آسیب میزند؟ نه. این سرآیندها برای کاربران نامرئی و برای موتورهای جستجو بیاهمیت هستند. حذف آنها صرفاً سودمند است.
بررسی کنید سرآیندهای شما چه چیزی را فاش میکنند
دقیقاً ببینید سایت شما چه چیزی را اعلام میکند — و چه چیزی را باید حذف کنید — رایگان و خصوصی.
دامنه خود را بررسی کنید → · کارنامه گزارش سرآیندهای امنیتی HTTP → · فقط دادههای تجمیعی. دادهها در اتحادیه اروپا ذخیره و پردازش میشوند.