Defaults.Exposed

Defaults.Exposed › گزارش‌ها

آنچه هدرهای سرور شما به مهاجمان می‌گوید: گزارش افشای پشتهٔ فناوری (۲۰۲۶)

منتشرشده 2026-06-29

ارقام تا تاریخ 2026-06-29 · روش‌شناسی نسخه ۷. داده‌های سرشماری تجمیع‌شده از سرآیندهای پاسخ HTTP مشاهده‌شده (Server، X-Powered-By). ببینید چگونه نمره می‌دهیم.

بیشتر وب داوطلبانه آنچه را که اجرا می‌کند فاش می‌کند: 71.4% از سایت‌ها سرور وب خود را در سرآیندهای پاسخ نام می‌برند، و 8.1% فراتر می‌روند و پشته برنامه خود را آشکار می‌کنند — اغلب با نسخه دقیق. هیچ‌کدام از این‌ها الزامی نیست، و هر ذره از آن یک سرنخ رایگان برای مهاجمی است که تصمیم می‌گیرد چه چیزی را هدف قرار دهد. افشای نسخه بدترین آن‌هاست: سرآیندی که نرم‌افزار پایان‌عمر را تبلیغ می‌کند یک دعوت‌نامه است.

وب چه چیزی را اعلام می‌کند

سرآیند Server نرم‌افزار سرور وب را نام می‌برد. تا تاریخ 2026-06-29، رایج‌ترین مقادیر در میان 71.4% از سایت‌هایی که یکی را ارسال می‌کنند:

سرآیند Serverسهم از سایت‌هایی که یکی را ارسال می‌کنند
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

نام سرور به‌تنهایی کم‌خطر است. افشای واقعی X-Powered-By است، که 8.1% از سایت‌ها آن را ارسال می‌کنند — و که اغلب شامل یک نسخه دقیق است. رایج‌ترین مقادیر شامل asp.net و بیلدهای خاص PHP مانند php/7.4.33 می‌شود.

چرا افشای نسخه اهمیت دارد

مهاجمی که اینترنت را برای یک آسیب‌پذیری شناخته‌شده اسکن می‌کند، دقیقاً بر اساس همین سرآیندها فیلتر می‌کند. سایتی که php/7.4.33 را تبلیغ می‌کند — یک نسخه PHP پایان‌عمر که دیگر وصله‌های امنیتی دریافت نمی‌کند — به هر اسکنری می‌گوید که ممکن است قابل بهره‌برداری باشد، پیش از یک کاوش واحد. افشا آسیب‌پذیری را ایجاد نمی‌کند، اما هزینه شناسایی مهاجم را حذف می‌کند و یک سایت وصله‌نشده را به بالای فهرست منتقل می‌کند.

راه‌حل رایگان است و هیچ ضرری برای بازدیدکنندگان ندارد: این سرآیندها را سرکوب یا عمومی کنید. هیچ دلیل کارکردی برای پخش عمومی نسخه پشته شما وجود ندارد.

چگونه نشت پشته خود را متوقف کنید

  1. X-Powered-By را به‌طور کامل حذف کنید — هیچ هدفی برای بازدیدکنندگان ندارد. (یک دستورالعمل در PHP/فریم‌ورک شما یا حذف سرآیند در پراکسی.)
  2. Server را عمومی کنید — نسخه، یا سرآیند، را در سرور وب یا CDN خود حذف کنید.
  3. پشته را به‌هر حال وصله‌شده نگه دارید — پنهان کردن نسخه زمان می‌خرد، جایگزین به‌روزرسانی نمی‌شود.
  4. دوباره بررسی کنید تا تأیید کنید سرآیندها از بین رفته‌اند.

پرسش‌های متداول

سرآیند X-Powered-By چیست؟ یک سرآیند پاسخ که فریم‌ورک برنامه و اغلب نسخه دقیق آن را تبلیغ می‌کند (مثلاً یک بیلد خاص PHP). اختیاری است و هیچ سودی برای بازدیدکنندگان ندارد — فقط برای مهاجمان. 8.1% از سایت‌ها یکی را ارسال می‌کنند.

آیا آشکار کردن نرم‌افزار سرور من یک آسیب‌پذیری است؟ به‌خودی‌خود نه، اما افشای اطلاعات است: به مهاجمان اجازه می‌دهد برای آسیب‌پذیری‌های شناخته‌شده در پشته و نسخه خاص شما فیلتر کنند و شناسایی آن‌ها را به صفر برسانند. بهترین روش سرکوب آن است.

آیا باید سرآیند Server را پنهان کنم؟ عمومی کردن آن (حذف نسخه) روش خوبی است. برد بزرگ‌تر حذف X-Powered-By و به‌روز نگه داشتن نرم‌افزار است.

آیا این به سئو یا بازدیدکنندگان آسیب می‌زند؟ نه. این سرآیندها برای کاربران نامرئی و برای موتورهای جستجو بی‌اهمیت هستند. حذف آن‌ها صرفاً سودمند است.

بررسی کنید سرآیندهای شما چه چیزی را فاش می‌کنند

دقیقاً ببینید سایت شما چه چیزی را اعلام می‌کند — و چه چیزی را باید حذف کنید — رایگان و خصوصی.

دامنه خود را بررسی کنید → · کارنامه گزارش سرآیندهای امنیتی HTTP → · فقط داده‌های تجمیعی. داده‌ها در اتحادیه اروپا ذخیره و پردازش می‌شوند.