“可通过HTTP获取远端WWW服务信息”漏洞修复

ops/2025/2/11 2:10:48/

环境说明:①操作系统:windows server;②nginx:1.27.1。

1.漏洞说明

可通过HTTP获取远端WWW服务信息”。

修复前,在“响应标头”能看到Server信息,如下图所示:
在这里插入图片描述
修复后,“响应标头”已移除Server信息,如下图所示:
在这里插入图片描述

2. 网上解决方案

①方法1:Nginx添加扩展headers-more-nginx-module。这种方法需要下载扩展模块,重新编译、安装,比较麻烦。
②方法2:直接使用Openresty替换Nginx。OpenResty已经集成了headers-more-nginx-module模块。且使用上跟直接使用nginx一样。

nginx_17">3.替换nginx

3.1 替换配置文件

替换过程比较简单,把原来的nginx.conf文件拷贝到OpenResty对应位置。重新启动OpenResty即可。

在这里插入图片描述

3.2 修改配置

  • openrestynginx.conf配置中,关于文件夹路径改用绝对路径,否则报500错误。
    在这里插入图片描述

  • openrestynginx.conf配置文件中的http节点下添加more_clear_headers ‘Server’;

more_clear_headers 'Server'

在这里插入图片描述

4.OpenResty介绍

OpenResty® is a full-fledged web platform that integrates our enhanced version of the Nginx core, our enhanced version of LuaJIT, many carefully written Lua libraries, lots of high quality 3rd-party Nginx modules, and most of their external dependencies. It is designed to help developers easily build scalable web applications, web services, and dynamic web gateways.

详见官网:https://openresty.org/en/


http://www.ppmy.cn/ops/157415.html

相关文章

< OS 有关 > Ubuntu 版本升级 实践 24.04 -> 24.10, 安装 .NET

< OS 有关 > Ubuntu 版本升级 实践 24.04 -> 24.10, 安装 .NET

原因: 想安装 .NET 9 去编译 GitHut 项目,这回用不熟悉的 Ubuntu来做,不知道怎么拐去给 Ubuntu 升级,看到现在版本是 24.10 但不是 LTS 版本,记录下升级过程。 一、实践过程: 1. 查看当前版本 命令1: l…
阅读更多...
2.6 寒假训练营补题

2.6 寒假训练营补题

C Tokitsukaze and Balance String (hard) 题目描述 本题为《Tokitsukaze and Balance String (easy)》的困难版本,两题的唯一区别在于 n n n 的范围。 一个字符串是平衡的,当且仅当字符串中 "01" 连续子串的个数与 "10" 连续子…
阅读更多...
2025.1.8(qt图形化界面之消息框)

2025.1.8(qt图形化界面之消息框)

笔记(后期复习补充) 作业 1> 手动将登录项目实现,不要使用拖拽编程 并且,当点击登录按钮时,后台会判断账号和密码是否相等,如果相等给出登录成功的提示,并且关闭当前界面,发射一…
阅读更多...
‌双非硕士的抉择:自学嵌入式硬件开发还是深入Linux C/C++走软开?

‌双非硕士的抉择:自学嵌入式硬件开发还是深入Linux C/C++走软开?

今天给大家分享的是一位粉丝的提问,双非硕研一是自学嵌入式走偏硬件还是说深入学习Linuxc/c走软开呢? 接下来把粉丝的具体提问和我的回复分享给大家,希望也能给一些类似情况的小伙伴一些启发和帮助。 粉丝提问: 老师好&#xff…
阅读更多...
【DeepSeek论文翻译】DeepSeek-R1: 通过强化学习激励大型语言模型的推理能力

【DeepSeek论文翻译】DeepSeek-R1: 通过强化学习激励大型语言模型的推理能力

目录 摘要 1. 引言 2. 方法 2.1. 概述 2.2. DeepSeek-R1-Zero:在基础模型上进行强化学习 2.2.1. 强化学习算法 2.2.2. 奖励建模 2.2.3. 训练模板 2.2.4. DeepSeek-R1-Zero 的性能、自我进化过程和顿悟时刻 2.3. DeepSeek-R1:具有冷启动的强化学…
阅读更多...
游戏引擎学习第90天

游戏引擎学习第90天

查看我们现在的进度 目标是完整地手写一个游戏,而不依赖任何现有的游戏引擎或库。这样做的主要原因是希望能够从头到尾掌握游戏开发的全部流程,确保对系统的每个部分都有清晰的理解。此外,现有的引擎和库往往存在各种设计上的问题&#xff0…
阅读更多...
WordPress wp-recall插件存在SQL注入漏洞(CVE-2024-32709)

WordPress wp-recall插件存在SQL注入漏洞(CVE-2024-32709)

免责声明: 本文旨在提供有关特定漏洞的深入信息,帮助用户充分了解潜在的安全风险。发布此信息的目的在于提升网络安全意识和推动技术进步,未经授权访问系统、网络或应用程序,可能会导致法律责任或严重后果。因此,作者不对读者基于本文内容所采取的任何行为承担责任。读者在…
阅读更多...
Linux进阶——web服务器

Linux进阶——web服务器

一、相关名词解释及概念: www:(world wide web)全球信息广播,通常来说的上网就是使用www来查询用户所需的信息。使用http超文本传输协议。 过程:web浏览器向web服务(Apache,Microsoft,nginx&…
阅读更多...
最新文章

Copyright @ 2022~2023