Defaults.Exposed › Izvještaji
Što vaša zaglavlja poslužitelja odaju napadačima: izvještaj o otkrivanju tehnološkog sloja (2026.)
Objavljeno 2026-06-29
Podaci na dan 2026-06-29 · metodologija v7. Agregirani podaci popisa iz promatranih zaglavlja HTTP odgovora (
Server,X-Powered-By). Pogledajte kako ocjenjujemo.
Većina weba dobrovoljno otkriva što pokreće: 71.4% stranica imenuje svoj web poslužitelj u zaglavljima odgovora, a 8.1% ide dalje i otkriva svoj aplikacijski stog — često s točnom verzijom. Ništa od ovoga nije obavezno, a svaki djelić toga besplatan je nagovještaj napadaču koji odlučuje što napasti. Otkrivanje verzije je najgore: zaglavlje koje reklamira softver na kraju životnog vijeka je pozivnica.
Što web objavljuje
Zaglavlje Server imenuje softver web poslužitelja. Na dan 2026-06-29, najčešće vrijednosti među 71.4% stranica koje ga šalju:
| Zaglavlje Server | Udio stranica koje ga šalju |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
Samo ime poslužitelja predstavlja nizak rizik. Pravo izlaganje je X-Powered-By, koje šalje 8.1% stranica — i koje često uključuje preciznu verziju. Najčešće vrijednosti uključuju asp.net i specifične PHP gradnje poput php/7.4.33.
Zašto je otkrivanje verzije važno
Napadač koji skenira internet u potrazi za poznatom ranjivošću filtrira upravo po tim zaglavljima. Stranica koja reklamira php/7.4.33 — PHP verziju na kraju životnog vijeka koja više ne dobiva sigurnosne zakrpe — govori svakom skeneru da bi mogla biti iskoristiva, prije i jedne sonde. Otkrivanje ne stvara ranjivost, ali uklanja napadačev trošak izviđanja i pomiče nezakrpanu stranicu na vrh popisa.
Ispravak je besplatan i nema nikakvu manu za posjetitelje: potisnite ili generalizirajte ova zaglavlja. Ne postoji nikakav funkcionalni razlog za javno emitiranje verzije vašeg stoga.
Kako zaustaviti curenje vašeg stoga
- Uklonite
X-Powered-Byu potpunosti — ne služi nikakvoj svrsi za posjetitelje. (Jedna direktiva u PHP-u/vašem okviru ili uklanjanje zaglavlja na proxyju.) - Generalizirajte
Server— uklonite verziju ili zaglavlje na svom web poslužitelju ili CDN-u. - Stog svejedno održavajte zakrpanim — skrivanje verzije kupuje vrijeme, ne zamjenjuje ažuriranje.
- Ponovno provjerite kako biste potvrdili da su zaglavlja nestala.
Često postavljana pitanja
Što je zaglavlje X-Powered-By? Zaglavlje odgovora koje reklamira aplikacijski okvir i često njegovu točnu verziju (npr. specifičnu PHP gradnju). Neobavezno je i ne pruža nikakvu korist posjetiteljima — samo napadačima. 8.1% stranica ga šalje.
Je li otkrivanje softvera mog poslužitelja ranjivost? Ne samo po sebi, ali je to otkrivanje informacija: omogućuje napadačima da filtriraju poznate ranjivosti u vašem specifičnom stogu i verziji, smanjujući njihovo izviđanje na nulu. Najbolja praksa je potisnuti ga.
Trebam li sakriti zaglavlje Server?
Generalizacija (uklanjanje verzije) dobra je praksa. Veći dobitak je uklanjanje X-Powered-By i održavanje softvera zakrpanim.
Šteti li ovo SEO-u ili posjetiteljima? Ne. Ova zaglavlja nevidljiva su korisnicima i nebitna za tražilice. Njihovo uklanjanje je čista korist.
Provjerite što vaša zaglavlja otkrivaju
Vidite točno što vaša stranica objavljuje — i što ukloniti — besplatno i privatno.
Provjerite svoju domenu → · Izvještajna kartica sigurnosnih HTTP zaglavlja → · Samo agregirani podaci. Podaci pohranjeni i obrađeni u EU.