Defaults.Exposed

Defaults.Exposed › Izvještaji

Što vaša zaglavlja poslužitelja odaju napadačima: izvještaj o otkrivanju tehnološkog sloja (2026.)

Objavljeno 2026-06-29

Podaci na dan 2026-06-29 · metodologija v7. Agregirani podaci popisa iz promatranih zaglavlja HTTP odgovora (Server, X-Powered-By). Pogledajte kako ocjenjujemo.

Većina weba dobrovoljno otkriva što pokreće: 71.4% stranica imenuje svoj web poslužitelj u zaglavljima odgovora, a 8.1% ide dalje i otkriva svoj aplikacijski stog — često s točnom verzijom. Ništa od ovoga nije obavezno, a svaki djelić toga besplatan je nagovještaj napadaču koji odlučuje što napasti. Otkrivanje verzije je najgore: zaglavlje koje reklamira softver na kraju životnog vijeka je pozivnica.

Što web objavljuje

Zaglavlje Server imenuje softver web poslužitelja. Na dan 2026-06-29, najčešće vrijednosti među 71.4% stranica koje ga šalju:

Zaglavlje ServerUdio stranica koje ga šalju
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

Samo ime poslužitelja predstavlja nizak rizik. Pravo izlaganje je X-Powered-By, koje šalje 8.1% stranica — i koje često uključuje preciznu verziju. Najčešće vrijednosti uključuju asp.net i specifične PHP gradnje poput php/7.4.33.

Zašto je otkrivanje verzije važno

Napadač koji skenira internet u potrazi za poznatom ranjivošću filtrira upravo po tim zaglavljima. Stranica koja reklamira php/7.4.33PHP verziju na kraju životnog vijeka koja više ne dobiva sigurnosne zakrpe — govori svakom skeneru da bi mogla biti iskoristiva, prije i jedne sonde. Otkrivanje ne stvara ranjivost, ali uklanja napadačev trošak izviđanja i pomiče nezakrpanu stranicu na vrh popisa.

Ispravak je besplatan i nema nikakvu manu za posjetitelje: potisnite ili generalizirajte ova zaglavlja. Ne postoji nikakav funkcionalni razlog za javno emitiranje verzije vašeg stoga.

Kako zaustaviti curenje vašeg stoga

  1. Uklonite X-Powered-By u potpunosti — ne služi nikakvoj svrsi za posjetitelje. (Jedna direktiva u PHP-u/vašem okviru ili uklanjanje zaglavlja na proxyju.)
  2. Generalizirajte Server — uklonite verziju ili zaglavlje na svom web poslužitelju ili CDN-u.
  3. Stog svejedno održavajte zakrpanim — skrivanje verzije kupuje vrijeme, ne zamjenjuje ažuriranje.
  4. Ponovno provjerite kako biste potvrdili da su zaglavlja nestala.

Često postavljana pitanja

Što je zaglavlje X-Powered-By? Zaglavlje odgovora koje reklamira aplikacijski okvir i često njegovu točnu verziju (npr. specifičnu PHP gradnju). Neobavezno je i ne pruža nikakvu korist posjetiteljima — samo napadačima. 8.1% stranica ga šalje.

Je li otkrivanje softvera mog poslužitelja ranjivost? Ne samo po sebi, ali je to otkrivanje informacija: omogućuje napadačima da filtriraju poznate ranjivosti u vašem specifičnom stogu i verziji, smanjujući njihovo izviđanje na nulu. Najbolja praksa je potisnuti ga.

Trebam li sakriti zaglavlje Server? Generalizacija (uklanjanje verzije) dobra je praksa. Veći dobitak je uklanjanje X-Powered-By i održavanje softvera zakrpanim.

Šteti li ovo SEO-u ili posjetiteljima? Ne. Ova zaglavlja nevidljiva su korisnicima i nebitna za tražilice. Njihovo uklanjanje je čista korist.

Provjerite što vaša zaglavlja otkrivaju

Vidite točno što vaša stranica objavljuje — i što ukloniti — besplatno i privatno.

Provjerite svoju domenu → · Izvještajna kartica sigurnosnih HTTP zaglavlja → · Samo agregirani podaci. Podaci pohranjeni i obrađeni u EU.