Defaults.Exposed

Defaults.Exposed › रिपोर्ट

आपके Server Headers Attackers को क्या बताते हैं: Stack-Disclosure Report (2026)

प्रकाशित 2026-06-29

आंकड़े 2026-06-29 तक · कार्यप्रणाली v7. Observed HTTP response headers (Server, X-Powered-By) से समग्र जनगणना डेटा। देखें हम कैसे ग्रेड करते हैं

वेब का अधिकांश हिस्सा स्वेच्छा से बताता है कि यह क्या चला रहा है: 71.4% sites response headers में अपना web server नाम देती हैं, और 8.1% आगे जाकर अपना application stack reveal करती हैं — अक्सर exact version के साथ। इनमें से कोई भी आवश्यक नहीं है, और इसका हर bit एक attacker के लिए एक मुफ्त hint है जो decide कर रहा है कि क्या target करना है। Version disclosure सबसे खराब है: एक header end-of-life software का advertise करना एक invitation है।

वेब क्या announce करता है

Server header web server software का नाम देता है। 2026-06-29 तक, 71.4% sites में से जो एक भेजती हैं, सबसे सामान्य values:

Server headerSites का हिस्सा जो एक भेजती हैं
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

Server name अकेले low-risk है। असली exposure X-Powered-By है, जो 8.1% sites भेजती हैं — और जो अक्सर एक precise version include करती है। सबसे सामान्य values में asp.net और php/7.4.33 जैसे specific PHP builds शामिल हैं।

Version disclosure क्यों मायने रखती है

एक attacker जो एक known vulnerability के लिए internet scan कर रहा है वह exactly इन headers के द्वारा filter करता है। एक site जो php/7.4.33एक end-of-life PHP version जो अब security patches नहीं पाती — advertise करती है, हर scanner को बता रही है कि यह exploitable हो सकती है, एक single probe से पहले। Disclosure vulnerability नहीं बनाती, लेकिन यह attacker की reconnaissance cost हटाती है।

Fix मुफ्त है और visitors के लिए कोई downside नहीं है: इन headers को suppress या genericise करें। Public को अपना stack version broadcast करने का कोई functional reason नहीं है।

अपना stack leak करना कैसे रोकें

  1. X-Powered-By पूरी तरह हटाएं — यह visitors के लिए कोई purpose serve नहीं करता।
  2. Server को genericise करें — version strip करें, या header, अपने web server या CDN पर।
  3. Stack को patched रखें regardless — version छुपाना time खरीदता है, updating replace नहीं करता।
  4. Re-check करें कि headers gone हैं।

अक्सर पूछे जाने वाले प्रश्न

X-Powered-By header क्या है? एक response header जो application framework और अक्सर इसका exact version advertise करता है। यह optional है और visitors को कोई benefit नहीं देता — केवल attackers को। 8.1% sites एक भेजती हैं।

क्या मेरा server software reveal करना एक vulnerability है? अकेले नहीं, लेकिन यह information disclosure है: यह attackers को आपके specific stack और version में known vulnerabilities के लिए filter करने देता है।

क्या मुझे Server header hide करनी चाहिए? इसे genericise करना (version dropping) अच्छा practice है। सबसे बड़ी जीत X-Powered-By हटाना और software patched रखना है।

क्या यह SEO या visitors को hurt करता है? नहीं। ये headers users को invisible और search engines के लिए irrelevant हैं।

जाँचें कि आपके headers क्या reveal करते हैं

देखें exactly कि आपकी site क्या announce करती है — और क्या strip करना है — मुफ्त और private।

अपना डोमेन जाँचें → · HTTP security header report card → · केवल समग्र डेटा। डेटा EU में संग्रहीत और संसाधित किया गया।