Defaults.Exposed

Defaults.Exposed › 報告

你的服務器標頭向攻擊者透露了什麼:技術棧洩露報告(2026)

發布於 2026-06-29

數據截至 2026-06-29 · 方法論 v7。 來自觀測到的 HTTP 響應標頭(ServerX-Powered-By)的彙總普查數據。參見我們如何評分

大多數網站會主動暴露自己運行的環境:71.4% 的站點在響應標頭中標明了它們的 Web 服務器,而 8.1% 更進一步,洩露了它們的應用棧——往往還帶有確切的版本號。 這些都不是必需的,而每一條信息都是免費送給攻擊者的提示,幫他們決定攻擊哪個目標。版本洩露是最糟糕的:一個宣告已到生命週期終點軟件的響應標頭就是一份邀請函。

網站對外宣告了什麼

Server 響應標頭標明了 Web 服務器軟件。截至 2026-06-29,在發送該響應標頭的 71.4% 站點中,最常見的取值為:

Server 響應標頭在發送該標頭的站點中所佔比例
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

僅服務器名稱本身風險較低。真正的暴露在於 X-Powered-By,有 8.1% 的站點發送它——而且它常常包含精確的版本號。最常見的取值包括 asp.net 以及諸如 php/7.4.33 這樣的特定 PHP 構建版本。

為什麼版本洩露很重要

在互聯網上掃描某個已知漏洞的攻擊者,正是按這些響應標頭進行篩選。一個宣告 php/7.4.33 的站點——即一個已到生命週期終點、不再獲得安全補丁的 PHP 版本——在還未經過任何一次探測之前,就已經告訴每一個掃描器它可能是可被利用的。洩露本身並不製造漏洞,但它消除了攻擊者的偵察成本,並把一個未打補丁的站點推到了列表的最前面。

修復是免費的,對訪問者也沒有任何壞處:抑制這些響應標頭,或將其通用化。 沒有任何功能上的理由要把你的技術棧版本公開廣播出去。

如何停止洩露你的技術棧

  1. 徹底移除 X-Powered-By——它對訪問者毫無用處。(在 PHP/你的框架中加一條指令,或在代理處剝離該標頭即可。)
  2. Server 通用化——在你的 Web 服務器或 CDN 上去掉版本號,或去掉整個響應標頭。
  3. 無論如何都要保持技術棧打補丁——隱藏版本只是爭取時間,並不能替代更新。
  4. 重新檢查,確認這些響應標頭已經消失。

常見問題

什麼是 X-Powered-By 響應標頭? 一個用於宣告應用框架、且常常宣告其確切版本(例如某個特定的 PHP 構建)的響應標頭。它是可選的,對訪問者沒有任何好處——只對攻擊者有用。8.1% 的站點會發送它。

暴露我的服務器軟件算是一個漏洞嗎? 單憑它本身不算,但這是信息洩露:它讓攻擊者能夠針對你特定的技術棧和版本篩選已知漏洞,把他們的偵察成本降到零。最佳實踐是將其抑制。

我應該隱藏 Server 響應標頭嗎? 將其通用化(去掉版本號)是一種好做法。更大的收益在於移除 X-Powered-By 並保持軟件打補丁。

這會損害 SEO 或訪問者體驗嗎? 不會。這些響應標頭對用戶不可見,對搜索引擎也無關緊要。移除它們只有好處。

檢查你的響應標頭都暴露了什麼

精確查看你的站點對外宣告了什麼——以及該剝離什麼——免費且私密。

檢查你的域名 → · HTTP 安全響應標頭成績單 → · 僅彙總數據。數據存儲和處理均在歐盟境內。