Defaults.Exposed › Reporty
Čo vaše hlavičky servera prezrádzajú útočníkom: Správa o odhalení technológií (2026)
Publikované 2026-06-29
Údaje k 2026-06-29 · metodológia v7. Agregované údaje zo sčítania z pozorovaných hlavičiek HTTP odpovedí (
Server,X-Powered-By). Pozrite si ako známkujeme.
Väčšina webu dobrovoľne prezrádza, čo používa: 71.4% stránok uvádza svoj webový server v hlavičkách odpovedí a 8.1% ide ešte ďalej a odhaľuje svoj aplikačný zásobník — často s presnou verziou. Nič z toho nie je povinné a každý kúsok je bezplatnou nápovedou pre útočníka, ktorý sa rozhoduje, na čo sa zamerať. Prezradenie verzie je najhoršie: hlavička inzerujúca softvér po skončení životnosti je pozvánkou.
Čo web oznamuje
Hlavička Server uvádza softvér webového servera. K 2026-06-29 sú najbežnejšie hodnoty medzi 71.4% stránok, ktoré ju posielajú:
| Hlavička Server | Podiel stránok, ktoré ju posielajú |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
Samotný názov servera predstavuje nízke riziko. Skutočným odhalením je X-Powered-By, ktorú posiela 8.1% stránok — a ktorá často obsahuje presnú verziu. Najbežnejšie hodnoty zahŕňajú asp.net a konkrétne zostavy PHP ako php/7.4.33.
Prečo na prezradení verzie záleží
Útočník, ktorý prehľadáva internet kvôli známej zraniteľnosti, filtruje presne podľa týchto hlavičiek. Stránka inzerujúca php/7.4.33 — verziu PHP po skončení životnosti, ktorá už nedostáva bezpečnostné záplaty — hovorí každému skeneru, že môže byť zneužiteľná, ešte pred jediným sondovaním. Prezradenie zraniteľnosť nevytvára, ale odstraňuje náklady útočníka na prieskum a presúva nezáplatovanú stránku na vrchol zoznamu.
Oprava je bezplatná a nemá žiadnu nevýhodu pre návštevníkov: potlačte alebo zovšeobecnite tieto hlavičky. Neexistuje žiadny funkčný dôvod verejne vysielať verziu vášho zásobníka.
Ako zastaviť únik vášho zásobníka
- Úplne odstráňte
X-Powered-By— pre návštevníkov neslúži žiadnemu účelu. (Jedna direktíva v PHP/vašom frameworku alebo odstránenie hlavičky na proxy.) - Zovšeobecnite
Server— odstráňte verziu alebo hlavičku na vašom webovom serveri či CDN. - Udržujte zásobník záplatovaný za každých okolností — skrytie verzie získava čas, nenahrádza aktualizáciu.
- Znovu skontrolujte, aby ste potvrdili, že hlavičky zmizli.
Často kladené otázky
Čo je hlavička X-Powered-By? Hlavička odpovede, ktorá inzeruje aplikačný framework a často jeho presnú verziu (napr. konkrétnu zostavu PHP). Je voliteľná a pre návštevníkov neprináša žiadny úžitok — len pre útočníkov. 8.1% stránok ju posiela.
Je odhalenie softvéru môjho servera zraniteľnosťou? Samo o sebe nie, ale je to odhalenie informácií: umožňuje útočníkom filtrovať známe zraniteľnosti vo vašom konkrétnom zásobníku a verzii, čím znižuje ich prieskum na nulu. Najlepšou praxou je potlačiť ho.
Mal by som skryť hlavičku Server?
Jej zovšeobecnenie (odstránenie verzie) je dobrá prax. Väčším víťazstvom je odstránenie X-Powered-By a udržiavanie softvéru záplatovaného.
Škodí to SEO alebo návštevníkom? Nie. Tieto hlavičky sú pre používateľov neviditeľné a pre vyhľadávače irelevantné. Ich odstránenie je čisto prospešné.
Skontrolujte, čo vaše hlavičky prezrádzajú
Pozrite si presne, čo vaša stránka oznamuje — a čo odstrániť — bezplatne a súkromne.
Skontrolujte svoju doménu → · Hodnotiaca karta bezpečnostných hlavičiek HTTP → · Iba agregované údaje. Údaje uložené a spracované v EÚ.