Defaults.Exposed › Jelentések
Amit a kiszolgálófejlécei elárulnak a támadóknak: a technológiaifeltárás-jelentés (2026)
Közzétéve 2026-06-29
Adatok 2026-06-29 állapot szerint · módszertan v7. Aggregált népszámlálási adatok megfigyelt HTTP-válaszfejlécekből (
Server,X-Powered-By). Lásd hogyan osztályozunk.
A web nagy része önként elárulja, mi fut rajta: a webhelyek 71.4%-a megnevezi a webszerverét a válaszfejlécekben, és 8.1%-uk tovább megy, és felfedi az alkalmazásrétegét — gyakran a pontos verzióval együtt. Ezek egyike sem kötelező, és minden egyes darabja ingyenes tipp egy támadónak, aki éppen azt dönti el, mit célozzon meg. A verzió felfedése a legrosszabb: egy fejléc, amely élettartama végét elért szoftvert hirdet, egyenesen meghívás.
Mit hirdet a web
A Server fejléc megnevezi a webszerver szoftverét. 2026-06-29 állapot szerint a leggyakoribb értékek azon webhelyek 71.4%-ánál, amelyek küldenek ilyet:
| Server fejléc | Az ilyet küldő webhelyek aránya |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
Maga a szervernév önmagában alacsony kockázatú. A valódi kitettség az X-Powered-By, amelyet a webhelyek 8.1%-a küld — és amely gyakran pontos verziót tartalmaz. A leggyakoribb értékek közé tartozik a asp.net, valamint konkrét PHP-buildek, mint a php/7.4.33.
Miért számít a verzió felfedése
Egy ismert sebezhetőség után az internetet pásztázó támadó pontosan ezekre a fejlécekre szűr. Egy php/7.4.33-t hirdető webhely — egy élettartama végét elért PHP-verzió, amely már nem kap biztonsági javításokat — minden szkennernek elárulja, hogy kihasználható lehet, még egyetlen próbálkozás előtt. A felfedés nem hozza létre a sebezhetőséget, de megszünteti a támadó felderítési költségét, és a javítatlan webhelyet a lista élére helyezi.
A javítás ingyenes, és a látogatók számára nincs hátránya: nyomd el vagy tedd általánossá ezeket a fejléceket. Nincs funkcionális ok arra, hogy a rétegverziódat nyilvánosan közvetítsd.
Hogyan állítsd le a rétegszivárgást
- Távolítsd el az
X-Powered-By-t teljesen — a látogatók számára semmilyen célt nem szolgál. (Egyetlen direktíva a PHP-ben/keretrendszeredben, vagy fejléceltávolítás a proxynál.) - Tedd általánossá a
Server-t — távolítsd el a verziót, vagy a fejlécet, a webszervereden vagy CDN-eden. - Tartsd mindenképp javítva a réteget — a verzió elrejtése időt nyer, nem helyettesíti a frissítést.
- Ellenőrizd újra, hogy megerősítsd: a fejlécek eltűntek.
Gyakran ismételt kérdések
Mi az X-Powered-By fejléc? Egy válaszfejléc, amely az alkalmazás keretrendszerét és gyakran annak pontos verzióját hirdeti (pl. egy adott PHP-buildet). Opcionális, és a látogatóknak semmilyen előnyt nem nyújt — csak a támadóknak. A webhelyek 8.1%-a küld ilyet.
Sebezhetőség a szerverszoftverem felfedése? Önmagában nem, de információfelfedés: lehetővé teszi a támadóknak, hogy a te konkrét rétegedre és verziódra vonatkozó ismert sebezhetőségekre szűrjenek, nullára csökkentve a felderítésüket. A bevált gyakorlat az elnyomása.
El kellene rejtenem a Server fejlécet?
Általánossá tenni (a verzió elhagyása) jó gyakorlat. A nagyobb nyereség az X-Powered-By eltávolítása és a szoftver javítva tartása.
Árt ez a SEO-nak vagy a látogatóknak? Nem. Ezek a fejlécek láthatatlanok a felhasználók számára, és a keresőmotorok szempontjából lényegtelenek. Eltávolításuk csak előnnyel jár.
Ellenőrizd, mit fednek fel a fejléceid
Nézd meg pontosan, mit hirdet a webhelyed — és mit kell eltávolítanod — ingyen és magánjelleggel.
Ellenőrizd a domained → · A HTTP biztonsági fejlécek bizonyítványa → · Csak aggregált adatok. Az adatok az EU-ban tárolódnak és kerülnek feldolgozásra.