Defaults.Exposed

Defaults.Exposed › รายงาน

สิ่งที่ Server Headers ของคุณบอกผู้โจมตี: รายงานการเปิดเผย Stack (2026)

เผยแพร่ 2026-06-29

ตัวเลข ณ วันที่ 2026-06-29 · วิธีการ v7 ข้อมูลสำมะโนรวมจาก HTTP response headers ที่สังเกต (Server, X-Powered-By) ดู วิธีที่เราให้เกรด

เว็บส่วนใหญ่สมัครใจบอกสิ่งที่ใช้งาน: 71.4% ของเว็บไซต์ระบุชื่อ web server ของตนใน response headers และ 8.1% ไปต่อและเปิดเผย application stack ของตน — บ่อยครั้งพร้อมเวอร์ชันที่แน่ชัด ไม่มีสิ่งใดที่จำเป็น และทุกบิตเป็นคำใบ้ฟรีสำหรับผู้โจมตีที่ตัดสินใจว่าจะกำหนดเป้าหมายอะไร การเปิดเผยเวอร์ชันแย่ที่สุด: header ที่โฆษณาซอฟต์แวร์ end-of-life คือคำเชิญ

สิ่งที่เว็บประกาศ

Header Server ระบุชื่อซอฟต์แวร์ web server ณ วันที่ 2026-06-29 ค่าที่พบบ่อยที่สุดในบรรดา 71.4% ของเว็บไซต์ที่ส่งหนึ่ง:

Server headerสัดส่วนของเว็บไซต์ที่ส่ง
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

ชื่อเซิร์ฟเวอร์เพียงอย่างเดียวมีความเสี่ยงต่ำ การเปิดเผยที่แท้จริงคือ X-Powered-By ซึ่ง 8.1% ของเว็บไซต์ส่ง — และบ่อยครั้งมีเวอร์ชันที่แม่นยำ ค่าที่พบบ่อยที่สุดรวมถึง asp.net และ PHP builds ที่เฉพาะเจาะจงเช่น php/7.4.33

ทำไมการเปิดเผยเวอร์ชันจึงสำคัญ

ผู้โจมตีที่สแกนอินเทอร์เน็ตสำหรับช่องโหว่ที่รู้จักกรองโดย headers เหล่านี้อย่างแน่ชัด เว็บไซต์ที่โฆษณา php/7.4.33เวอร์ชัน PHP end-of-life ที่ไม่ได้รับ security patches อีกต่อไป — กำลังบอกทุก scanner ว่าอาจสามารถถูก exploit ได้ ก่อนที่จะมีการ probe เดียว การเปิดเผยไม่ได้สร้างช่องโหว่ แต่มันลดต้นทุนการลาดตระเวนของผู้โจมตีและย้ายเว็บไซต์ที่ไม่ได้ patch ไปอยู่ด้านบนของรายการ

การแก้ไขฟรีและไม่มีข้อเสียสำหรับผู้เยี่ยมชม: ระงับหรือทำให้ headers เหล่านี้ทั่วไป ไม่มีเหตุผลเชิงหน้าที่ที่จะออกอากาศเวอร์ชัน stack ของคุณต่อสาธารณะ

วิธีหยุดรั่วไหล stack ของคุณ

  1. ลบ X-Powered-By ทั้งหมด — มันไม่มีจุดประสงค์สำหรับผู้เยี่ยมชม (คำสั่งเดียวใน PHP/framework ของคุณหรือ header-strip ที่ proxy)
  2. ทำให้ Server ทั่วไป — ตัด version หรือ header ที่ web server หรือ CDN ของคุณ
  3. เก็บ stack ให้ patch อยู่เสมอ โดยไม่คำนึง — การซ่อนเวอร์ชันซื้อเวลา มันไม่แทนที่การอัพเดต
  4. ตรวจสอบใหม่ เพื่อยืนยันว่า headers หายไปแล้ว

คำถามที่พบบ่อย

X-Powered-By header คืออะไร? Response header ที่โฆษณา application framework และบ่อยครั้งเวอร์ชันที่แน่ชัด (เช่น PHP build ที่เฉพาะเจาะจง) มันเป็นตัวเลือกและไม่ให้ประโยชน์ต่อผู้เยี่ยมชม — เฉพาะผู้โจมตี 8.1% ของเว็บไซต์ส่งหนึ่ง

การเปิดเผยซอฟต์แวร์ server ของฉันเป็นช่องโหว่หรือไม่? ไม่โดยตัวมันเอง แต่มันเป็นการเปิดเผยข้อมูล: มันให้ผู้โจมตีกรองช่องโหว่ที่รู้จักใน stack และเวอร์ชันที่เฉพาะเจาะจงของคุณ ตัดการลาดตระเวนให้เป็นศูนย์ Best practice คือการระงับมัน

ฉันควรซ่อน Server header หรือไม่? การทำให้มันทั่วไป (ทิ้งเวอร์ชัน) คือ best practice ชัยชนะที่ใหญ่กว่าคือการลบ X-Powered-By และเก็บซอฟต์แวร์ให้ patch อยู่

สิ่งนี้กระทบ SEO หรือผู้เยี่ยมชมหรือไม่? ไม่ Headers เหล่านี้ล่องหนต่อผู้ใช้และไม่เกี่ยวข้องกับ search engines การลบพวกเขาเป็นผลบวกล้วนๆ

ตรวจสอบสิ่งที่ headers ของคุณเปิดเผย

ดูอย่างแน่ชัดว่าเว็บไซต์ของคุณประกาศอะไร — และสิ่งที่ต้อง strip — ฟรีและส่วนตัว

ตรวจสอบโดเมนของคุณ → · รายงานบัตรคะแนน HTTP security header → · ข้อมูลรวมเท่านั้น ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป