Defaults.Exposed

Defaults.Exposed › Báo cáo

Tiêu đề máy chủ của bạn tiết lộ gì cho kẻ tấn công: Báo cáo Phơi bày Ngăn xếp (2026)

Đã xuất bản 2026-06-29

Số liệu tính đến 2026-06-29 · phương pháp luận v7. Dữ liệu khảo sát tổng hợp từ các tiêu đề phản hồi HTTP được quan sát (Server, X-Powered-By). Xem cách chúng tôi chấm điểm.

Phần lớn web tự nguyện tiết lộ những gì nó đang chạy: 71.4% trang web nêu tên máy chủ web của họ trong tiêu đề phản hồi, và 8.1% còn đi xa hơn và để lộ ngăn xếp ứng dụng của họ — thường kèm theo phiên bản chính xác. Không có thứ nào trong số này là bắt buộc, và mọi mẩu thông tin đều là một gợi ý miễn phí cho kẻ tấn công đang quyết định nhắm vào mục tiêu nào. Tiết lộ phiên bản là tệ nhất: một tiêu đề quảng bá phần mềm đã hết vòng đời là một lời mời.

Web thông báo những gì

Tiêu đề Server nêu tên phần mềm máy chủ web. Tính đến 2026-06-29, các giá trị phổ biến nhất trong số 71.4% trang web gửi một tiêu đề này:

Tiêu đề ServerTỷ lệ trong các trang web gửi một tiêu đề
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

Bản thân tên máy chủ có rủi ro thấp. Sự phơi bày thực sự là X-Powered-By, mà 8.1% trang web gửi đi — và thường bao gồm một phiên bản chính xác. Các giá trị phổ biến nhất bao gồm asp.net và các bản dựng PHP cụ thể như php/7.4.33.

Tại sao việc tiết lộ phiên bản lại quan trọng

Một kẻ tấn công quét internet để tìm một lỗ hổng đã biết sẽ lọc chính xác theo các tiêu đề này. Một trang web quảng bá php/7.4.33 — một phiên bản PHP đã hết vòng đời không còn nhận được bản vá bảo mật — đang nói với mọi máy quét rằng nó có thể bị khai thác, trước cả một lần thăm dò duy nhất. Việc tiết lộ không tạo ra lỗ hổng, nhưng nó loại bỏ chi phí trinh sát của kẻ tấn công và đưa một trang web chưa được vá lên đầu danh sách.

Cách khắc phục là miễn phí và không có nhược điểm nào cho khách truy cập: chặn hoặc làm chung chung các tiêu đề này. Không có lý do chức năng nào để phát công khai phiên bản ngăn xếp của bạn.

Cách ngăn chặn rò rỉ ngăn xếp của bạn

  1. Loại bỏ hoàn toàn X-Powered-By — nó không phục vụ mục đích nào cho khách truy cập. (Một chỉ thị trong PHP/framework của bạn hoặc loại bỏ tiêu đề tại proxy.)
  2. Làm chung chung Server — loại bỏ phiên bản, hoặc tiêu đề, tại máy chủ web hoặc CDN của bạn.
  3. Luôn giữ ngăn xếp được vá dù thế nào — ẩn phiên bản chỉ mua thời gian, nó không thay thế việc cập nhật.
  4. Kiểm tra lại để xác nhận các tiêu đề đã biến mất.

Câu hỏi thường gặp

Tiêu đề X-Powered-By là gì? Một tiêu đề phản hồi quảng bá framework ứng dụng và thường là phiên bản chính xác của nó (ví dụ: một bản dựng PHP cụ thể). Nó là tùy chọn và không mang lại lợi ích nào cho khách truy cập — chỉ cho kẻ tấn công. 8.1% trang web gửi một tiêu đề này.

Việc tiết lộ phần mềm máy chủ của tôi có phải là một lỗ hổng không? Không phải bản thân nó, nhưng đó là tiết lộ thông tin: nó cho phép kẻ tấn công lọc các lỗ hổng đã biết trong ngăn xếp và phiên bản cụ thể của bạn, cắt giảm việc trinh sát của họ xuống bằng không. Thực hành tốt nhất là chặn nó.

Tôi có nên ẩn tiêu đề Server không? Làm chung chung nó (bỏ phiên bản) là một thực hành tốt. Lợi ích lớn hơn là loại bỏ X-Powered-By và giữ phần mềm được vá.

Điều này có ảnh hưởng đến SEO hoặc khách truy cập không? Không. Các tiêu đề này vô hình đối với người dùng và không liên quan đến công cụ tìm kiếm. Loại bỏ chúng hoàn toàn có lợi.

Kiểm tra xem các tiêu đề của bạn tiết lộ những gì

Xem chính xác trang web của bạn thông báo những gì — và những gì cần loại bỏ — miễn phí và riêng tư.

Kiểm tra tên miền của bạn → · Phiếu báo cáo tiêu đề bảo mật HTTP → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.