Defaults.Exposed

Defaults.Exposed › Izveštaji

Šta zaglavlja vašeg servera govore napadačima: Izveštaj o otkrivanju tehnološkog steka (2026)

Objavljeno 2026-06-29

Подаци на дан 2026-06-29 · методологија в7. Агрегирани подаци пописа из посматраних заглавља HTTP одговора (Server, X-Powered-By). Погледајте како оцењујемо.

Већина веба добровољно открива шта покреће: 71.4% сајтова именује свој веб сервер у заглављима одговора, а 8.1% иде даље и открива свој апликациони стек — често са тачном верзијом. Ништа од овога није обавезно, а сваки део тога је бесплатан наговештај нападачу који одлучује шта да нападне. Откривање верзије је најгоре: заглавље које рекламира софтвер на крају животног века је позивница.

Шта веб објављује

Заглавље Server именује софтвер веб сервера. На дан 2026-06-29, најчешће вредности међу 71.4% сајтова који шаљу једно:

Заглавље ServerУдео сајтова који шаљу једно
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

Само име сервера је нискоризично. Право излагање је X-Powered-By, које шаље 8.1% сајтова — и које често укључује прецизну верзију. Најчешће вредности укључују asp.net и специфичне PHP верзије попут php/7.4.33.

Зашто је откривање верзије важно

Нападач који скенира интернет у потрази за познатом рањивошћу филтрира управо по овим заглављима. Сајт који рекламира php/7.4.33PHP верзију на крају животног века која више не добија безбедносне закрпе — говори сваком скенеру да би могао бити искористив, пре и једног испитивања. Откривање не ствара рањивост, али уклања нападачев трошак извиђања и помера незакрпљени сајт на врх листе.

Исправка је бесплатна и нема никакву ману за посетиоце: потисните или генерализујте ова заглавља. Не постоји никакав функционални разлог да јавно емитујете верзију свог стека.

Како зауставити цурење вашег стека

  1. Уклоните X-Powered-By у потпуности — не служи никаквој сврси за посетиоце. (Једна директива у PHP-у/вашем оквиру или уклањање заглавља на проксију.)
  2. Генерализујте Server — уклоните верзију, или заглавље, на свом веб серверу или CDN-у.
  3. Држите стек закрпљеним у сваком случају — скривање верзије купује време, не замењује ажурирање.
  4. Поново проверите да потврдите да су заглавља нестала.

Често постављана питања

Шта је заглавље X-Powered-By? Заглавље одговора које рекламира оквир апликације и често његову тачну верзију (нпр. специфичну PHP верзију). Опционо је и не пружа никакву корист посетиоцима — само нападачима. 8.1% сајтова шаље једно.

Да ли је откривање софтвера мог сервера рањивост? Не само по себи, али је откривање информација: омогућава нападачима да филтрирају познате рањивости у вашем специфичном стеку и верзији, смањујући њихово извиђање на нулу. Најбоља пракса је да га потиснете.

Да ли треба да сакријем заглавље Server? Генерализација (уклањање верзије) је добра пракса. Већа добит је уклањање X-Powered-By и одржавање софтвера закрпљеним.

Да ли ово штети SEO-у или посетиоцима? Не. Ова заглавља су невидљива корисницима и небитна за претраживаче. Њихово уклањање је чиста корист.

Проверите шта ваша заглавља откривају

Видите тачно шта ваш сајт објављује — и шта да уклоните — бесплатно и приватно.

Проверите свој домен → · Извештајна картица безбедносних HTTP заглавља → · Само агрегирани подаци. Подаци се чувају и обрађују у ЕУ.