X-Powered-By und Server Header entfernen: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „X-Powered-By und Server Header entfernen Viele Apache Server sind in ihrer Standard Installation sehr freizügig mit der Bekanntgabe von Informationen. Dies b…“) |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
=Allgemeines= | |||
Viele Apache Server sind in ihrer Standard Installation sehr freizügig mit der Bekanntgabe von Informationen. Dies betrifft vor allem den X-Powered-By und Server Header. Diese sollten aus Sicherheitsgründen immer deaktiviert bzw. die Ausgabe minimiert werden. Durch die Ausgabe der laufenden PHP oder Apache Version oder welcher Server dahinter steckt, würde man einen Angreifer unnötig in die Hände spielen. | Viele Apache Server sind in ihrer Standard Installation sehr freizügig mit der Bekanntgabe von Informationen. Dies betrifft vor allem den X-Powered-By und Server Header. Diese sollten aus Sicherheitsgründen immer deaktiviert bzw. die Ausgabe minimiert werden. Durch die Ausgabe der laufenden PHP oder Apache Version oder welcher Server dahinter steckt, würde man einen Angreifer unnötig in die Hände spielen. | ||
Beispiel eines X-Powered-By Headers der die PHP Version ausgibt: | =Beispiele= | ||
;Beispiel eines X-Powered-By Headers der die PHP Version ausgibt: | |||
X-Powered-By: PHP/5.4.0 | :''X-Powered-By: PHP/5.4.0'' | ||
Servers der anzeigt, dass es sich um eine Plesk Installation handelt: | ; Beispiel eines Servers der anzeigt, dass es sich um eine Plesk Installation handelt: | ||
X-Powered-By PleskLin | :''X-Powered-By PleskLin'' | ||
Der Server Header kann auch einiges verraten: | ;Der Server Header kann auch einiges verraten: | ||
Server: Apache/2.4.7 (Win32) OpenSSL/1.0.1e PHP/5.5.6 | :''Server: Apache/2.4.7 (Win32) OpenSSL/1.0.1e PHP/5.5.6'' | ||
Um die Ausgabe zu unterbinden, gibt es mehrere Möglichkeiten. | =Um die Ausgabe zu unterbinden, gibt es mehrere Möglichkeiten.= | ||
Apache | ==Apache== | ||
Mit dem folgenden Eintrag in der /etc/apache2/httpd.conf (Pfad kann variieren) kann der X-Powered-By Header entfernt werden. | ;Mit dem folgenden Eintrag in der /etc/apache2/httpd.conf (Pfad kann variieren) kann der X-Powered-By Header entfernt werden. | ||
Header unset X-Powered-By | :<code>Header unset X-Powered-By</code> | ||
Plesk Server (Version 11) | ==Plesk Server (Version 11)== | ||
Um auf einem Plesk Server den X-Powered-By Header auszublenden, muss man etwas anders vorgehen. Hier werden die Config Dateien automatisch generiert. Eine Variante ist es in der server.php die folgende Zeile auszukommentieren. | ;Um auf einem Plesk Server den X-Powered-By Header auszublenden, muss man etwas anders vorgehen. Hier werden die Config Dateien automatisch generiert. | ||
:Eine Variante ist es in der server.php die folgende Zeile auszukommentieren. | |||
In Datei: /usr/local/psa/admin/conf/templates/default/server.php | :In Datei: /usr/local/psa/admin/conf/templates/default/server.php | ||
Zeile ersetzen gegen | Zeile ersetzen gegen | ||
#Header add X-Powered-By PleskLin | :<code>#Header add X-Powered-By PleskLin</code> | ||
anschließend mit dem Befehl die Konfiguration neu laden | ;anschließend mit dem Befehl die Konfiguration neu laden | ||
/usr/local/psa/admin/sbin/httpdmng --reconfigure-all | :<code>/usr/local/psa/admin/sbin/httpdmng --reconfigure-all</code> | ||
PHP | ==PHP== | ||
Um den Server Header zu hindern die PHP Version auszugeben, muss in der php.ini der folgende Eintrag gesetzt werden. | ;Um den Server Header zu hindern die PHP Version auszugeben, muss in der php.ini der folgende Eintrag gesetzt werden. | ||
expose_php = Off | :<code>expose_php = Off</code> | ||
Aktuelle Version vom 8. März 2018, 22:32 Uhr
Allgemeines
Viele Apache Server sind in ihrer Standard Installation sehr freizügig mit der Bekanntgabe von Informationen. Dies betrifft vor allem den X-Powered-By und Server Header. Diese sollten aus Sicherheitsgründen immer deaktiviert bzw. die Ausgabe minimiert werden. Durch die Ausgabe der laufenden PHP oder Apache Version oder welcher Server dahinter steckt, würde man einen Angreifer unnötig in die Hände spielen.
Beispiele
- Beispiel eines X-Powered-By Headers der die PHP Version ausgibt
- X-Powered-By: PHP/5.4.0
- Beispiel eines Servers der anzeigt, dass es sich um eine Plesk Installation handelt
- X-Powered-By PleskLin
- Der Server Header kann auch einiges verraten
- Server: Apache/2.4.7 (Win32) OpenSSL/1.0.1e PHP/5.5.6
Um die Ausgabe zu unterbinden, gibt es mehrere Möglichkeiten.
Apache
- Mit dem folgenden Eintrag in der /etc/apache2/httpd.conf (Pfad kann variieren) kann der X-Powered-By Header entfernt werden.
Header unset X-Powered-By
Plesk Server (Version 11)
- Um auf einem Plesk Server den X-Powered-By Header auszublenden, muss man etwas anders vorgehen. Hier werden die Config Dateien automatisch generiert.
- Eine Variante ist es in der server.php die folgende Zeile auszukommentieren.
- In Datei: /usr/local/psa/admin/conf/templates/default/server.php
Zeile ersetzen gegen
#Header add X-Powered-By PleskLin
- anschließend mit dem Befehl die Konfiguration neu laden
/usr/local/psa/admin/sbin/httpdmng --reconfigure-all
PHP
- Um den Server Header zu hindern die PHP Version auszugeben, muss in der php.ini der folgende Eintrag gesetzt werden.
expose_php = Off