Defaults.Exposed › Laporan
Apa Yang Diberitahu Pengepala Pelayan Anda kepada Penyerang: Laporan Pendedahan Tindanan (2026)
Diterbitkan 2026-06-29
Angka setakat 2026-06-29 · metodologi v7. Data banci teragregat daripada pengepala respons HTTP yang diperhatikan (
Server,X-Powered-By). Lihat cara kami menggred.
Kebanyakan web secara sukarela mendedahkan apa yang dijalankannya: 71.4% tapak menamakan pelayan web mereka dalam pengepala respons, dan 8.1% pergi lebih jauh dan mendedahkan timbunan aplikasi mereka — selalunya dengan versi yang tepat. Tiada satu pun daripada ini diperlukan, dan setiap cebisnya adalah petunjuk percuma untuk penyerang yang menentukan apa yang hendak disasarkan. Pendedahan versi adalah yang paling teruk: pengepala yang mengiklankan perisian akhir hayat adalah satu jemputan.
Apa yang web umumkan
Pengepala Server menamakan perisian pelayan web. Setakat 2026-06-29, nilai yang paling biasa antara 71.4% tapak yang menghantar satu:
| Pengepala Server | Bahagian daripada tapak yang menghantar satu |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
Nama pelayan sahaja berisiko rendah. Pendedahan sebenar ialah X-Powered-By, yang dihantar oleh 8.1% tapak — dan yang kerap merangkumi versi yang tepat. Nilai yang paling biasa termasuk asp.net dan binaan PHP tertentu seperti php/7.4.33.
Mengapa pendedahan versi penting
Penyerang yang mengimbas internet untuk kelemahan yang diketahui menapis tepat berdasarkan pengepala ini. Tapak yang mengiklankan php/7.4.33 — sebuah versi PHP akhir hayat yang tidak lagi mendapat tampung keselamatan — memberitahu setiap pengimbas bahawa ia mungkin boleh dieksploitasi, sebelum satu siasatan pun. Pendedahan tidak mewujudkan kelemahan, tetapi ia menghapuskan kos peninjauan penyerang dan memindahkan tapak yang tidak ditampung ke bahagian atas senarai.
Pembetulannya percuma dan tiada keburukan untuk pelawat: sekat atau jadikan generik pengepala ini. Tiada sebab berfungsi untuk menyiarkan versi timbunan anda kepada umum.
Cara menghentikan kebocoran timbunan anda
- Buang
X-Powered-Bysepenuhnya — ia tidak berguna untuk pelawat. (Satu arahan dalam PHP/rangka kerja anda atau penyingkiran pengepala di proksi.) - Jadikan generik
Server— buang versi, atau pengepala, di pelayan web atau CDN anda. - Kekalkan timbunan ditampung tanpa mengira — menyembunyikan versi membeli masa, ia tidak menggantikan kemas kini.
- Semak semula untuk mengesahkan pengepala telah hilang.
Soalan lazim
Apakah pengepala X-Powered-By? Pengepala respons yang mengiklankan rangka kerja aplikasi dan selalunya versi tepatnya (cth. binaan PHP tertentu). Ia pilihan dan tidak memberi manfaat kepada pelawat — hanya kepada penyerang. 8.1% tapak menghantar satu.
Adakah mendedahkan perisian pelayan saya satu kelemahan? Bukan dengan sendirinya, tetapi ia adalah pendedahan maklumat: ia membolehkan penyerang menapis kelemahan yang diketahui dalam timbunan dan versi khusus anda, mengurangkan peninjauan mereka kepada sifar. Amalan terbaik ialah menyekatnya.
Patutkah saya menyembunyikan pengepala Server?
Menjadikannya generik (membuang versi) adalah amalan yang baik. Kemenangan yang lebih besar ialah membuang X-Powered-By dan mengekalkan perisian ditampung.
Adakah ini menjejaskan SEO atau pelawat? Tidak. Pengepala ini tidak kelihatan kepada pengguna dan tidak relevan kepada enjin carian. Membuangnya adalah kebaikan semata-mata.
Semak apa yang pengepala anda dedahkan
Lihat tepat apa yang tapak anda umumkan — dan apa yang perlu dibuang — percuma dan peribadi.
Semak domain anda → · Kad laporan pengepala keselamatan HTTP → · Data teragregat sahaja. Data disimpan dan diproses di EU.