Hướng dẫn remove php version from header - xóa phiên bản php khỏi tiêu đề
|
Trong cấu hình APACHE/PHP mặc định, máy chủ gửi tiêu đề HTTP với thông tin phiên bản PHP đang chạy trên máy chủ. Tiêu đề phản hồi HTTP X-Runed-by By Hiển thị phiên bản PHP đang chạy trên máy chủ. Thông tin này có thể được sử dụng bởi các tin tặc để cố gắng khai thác bất kỳ lỗ hổng nào trong phiên bản PHP bạn đang chạy, đặc biệt nếu bạn đang chạy một phiên bản cũ hơn với các lỗ hổng đã biết.X-Powered-By” displays the version of PHP that is running on the server. This information can be used by hackers to try to exploit any vulnerabilities in the PHP version you
are running, specially if you are running an older version with known vulnerabilities. Tiêu đề phản hồi HTTP mẫu: Lưu ý: Đây chỉ là một cách để xác định phiên bản. Ngoài ra, ngay cả khi thông tin này không có sẵn, tin tặc vẫn có thể cố gắng hack nó bằng cách sử dụng các cách khác.: This is just one way to identify the version. Also, even if this information is not available hackers might still try to hack it using other ways. Có một cách dễ dàng để ẩn phiên bản PHP khỏi các tiêu đề HTTP. Bằng cách cài đặt biến biểu lộ của các bộ phận trên mạng của bạn để TẮT trong tệp PHP.INI của bạn, phiên bản PHP sẽ không còn được thêm vào các tiêu đề HTTP. Sử dụng dòng sau trong tệp php.ini của bạn. Đảm bảo sao lưu tệp của bạn trước khi chỉnh sửa để trong trường hợp có sự cố, bạn có thể dễ dàng hoàn nguyên.expose_php” variable to Off in your php.ini file the PHP
version would not longer be added to the HTTP headers. Use the following line in you php.ini file. Make sure to back up you file before editing so that in case something goes wrong you can easily revert. Tiêu đề phản hồi HTTP mẫu sau khi thêm dòng trên trong tệp php.ini. HTTP/1.1 200 OK Date: Sun, 04 Nov 2012 07:24:47 GMT Server: Apache Vary: Accept-Encoding,Cookie Lưu ý: Không chỉnh sửa tệp php.ini nếu bạn không biết gì về nó. Thay đổi nó có thể gây ra kết quả bất ngờ và thậm chí khiến trang web của bạn ngoại tuyến. Vì vậy, chỉnh sửa nó chỉ khi bạn chắc chắn rằng bạn có thể làm điều đó, nếu không hãy liên hệ với một người biết về nó.: Do not edit the php.ini file if you don’t know anything about it. Changing it can cause unexpected results and even cause your site to go offline. So edit it only if you are sure you can do it, else contact someone who knows about it. Cấu hình PHP, theo mặc định cho phép tiêu đề phản hồi HTTP của máy chủ ‘được cung cấp năng lượng X để hiển thị phiên bản PHP được cài đặt trên máy chủ.X-Powered-By‘ to display the PHP version installed on a server. Vì lý do bảo mật máy chủ (mặc dù không phải là mối đe dọa lớn để lo lắng), bạn nên tắt hoặc ẩn thông tin này với những kẻ tấn công có thể nhắm mục tiêu vào máy chủ của bạn bằng cách muốn biết bạn có đang chạy PHP hay không. Giả sử một phiên bản PHP cụ thể được cài đặt trên máy chủ của bạn có các lỗ hổng bảo mật và mặt khác, những kẻ tấn công làm quen với điều này, chúng sẽ trở nên dễ dàng hơn nhiều để khai thác các lỗ hổng và truy cập vào các tập lệnh thông qua các tập lệnh. Trong bài viết trước của tôi, tôi đã chỉ ra cách ẩn số phiên bản Apache, nơi bạn đã thấy cách tắt phiên bản đã cài đặt Apache. Nhưng nếu bạn đang chạy PHP trong máy chủ web Apache của mình, bạn cũng cần ẩn phiên bản đã cài đặt PHP và đây là những gì chúng tôi sẽ hiển thị trong bài viết này. Do đó, trong bài đăng này, chúng tôi sẽ giải thích cách ẩn hoặc tắt hiển thị số phiên bản PHP trong tiêu đề phản hồi HTTP của máy chủ. Cài đặt này có thể được cấu hình trong tệp cấu hình PHP được tải. Trong trường hợp bạn không biết vị trí của tệp cấu hình này trên máy chủ của mình, hãy chạy lệnh bên dưới để tìm nó: $ php -i | grep "Loaded Configuration File" Vị trí tệp cấu hình PHP ---------------- On CentOS/RHEL/Fedora ---------------- Loaded Configuration File => /etc/php.ini ---------------- On Debian/Ubuntu/Linux Mint ---------------- Loaded Configuration File => /etc/php/7.0/cli/php.ini Trước khi thực hiện bất kỳ thay đổi nào đối với tệp cấu hình PHP, tôi khuyên bạn nên tạo bản sao lưu tệp cấu hình PHP của mình như vậy: ---------------- On CentOS/RHEL/Fedora ---------------- $ sudo cp /etc/php.ini /etc/php.ini.orig ---------------- On Debian/Ubuntu/Linux Mint ---------------- $ sudo cp /etc/php/7.0/cli/php.ini /etc/php/7.0/cli/php.ini.orig Sau đó mở tệp bằng trình chỉnh sửa yêu thích của bạn với các đặc quyền siêu người dùng như vậy: ---------------- On CentOS/RHEL/Fedora ---------------- $ sudo vi /etc/php.ini ---------------- On Debian/Ubuntu/Linux Mint ---------------- $ sudo vi /etc/php/7.0/cli/php.ini Xác định vị trí từ khóa expose_php = Off0 và đặt giá trị của nó thành TẮT:Off: expose_php = off Lưu file và thoát. Sau đó, khởi động lại máy chủ web như sau: ---------------- On SystemD ---------------- $ sudo systemctl restart httpd $ sudo systemctl restart apache2 ---------------- On SysVInit ---------------- $ sudo service httpd restart $ sudo service apache2 restart Cuối cùng nhưng không kém phần quan trọng, hãy kiểm tra xem tiêu đề phản hồi HTTP của máy chủ vẫn hiển thị số phiên bản PHP của bạn bằng lệnh bên dưới. $ lynx -head -mime_header http://localhost OR $ lynx -head -mime_header http://server-address nơi những lá cờ:
Lưu ý: Đảm bảo bạn đã cài đặt Lynx-Line-Line Web Trình duyệt trên hệ thống của bạn.: Make sure you have lynx – command-line web browser installed on your system. Đó là nó! Trong bài viết này, chúng tôi đã giải thích cách ẩn số phiên bản PHP trong tiêu đề phản hồi HTTP của máy chủ để bảo mật máy chủ web khỏi các cuộc tấn công có thể. Bạn có thể thêm một ý kiến cho bài đăng này hoặc có thể hỏi bất kỳ câu hỏi liên quan thông qua mẫu bình luận dưới đây. Nếu bạn đánh giá cao những gì chúng tôi làm ở đây trên tecmint, bạn nên xem xét:Tecmint là trang web cộng đồng phát triển nhanh nhất và đáng tin cậy nhất cho bất kỳ loại bài viết, hướng dẫn và sách Linux nào trên web. Hàng triệu người ghé thăm Tecmint! Để tìm kiếm hoặc duyệt hàng ngàn bài báo được xuất bản có sẵn tự do cho tất cả. Nếu bạn thích những gì bạn đang đọc, vui lòng xem xét việc mua cho chúng tôi một ly cà phê (hoặc 2) như một dấu hiệu đánh giá cao. Chúng tôi rất biết ơn vì sự hỗ trợ không bao giờ kết thúc của bạn. Làm cách nào để tắt màn hình của phiên bản PHP?Mở tệp /etc/php.ini và thêm expose_php = off.Điều này sẽ vô hiệu hóa thông tin tiêu đề PHP. ini and add expose_php = Off . This will disable the PHP header information.
Làm cách nào để ẩn chi tiết phiên bản máy chủ trong tiêu đề phản hồi HTTP?Procedure.. Mở Trình quản lý IIS .. Trong cây kết nối, chọn trang web mà SS đang chạy theo .. Nhấp vào nút Tiêu đề Phản hồi HTTP ở bên phải.Bảng điều khiển tiêu đề phản hồi HTTP xuất hiện .. Bấm để chọn tiêu đề HTTP được cung cấp bởi X. Nhấp vào nút Xóa trong bảng hành động.Tiêu đề biến mất .. PHP có thể làm gì với lệnh header ()?Hàm Tiêu đề () trong PHP gửi tiêu đề HTTP RAW đến máy khách hoặc trình duyệt.Trước HTML, XML, JSON hoặc đầu ra khác được cung cấp cho trình duyệt hoặc máy khách, máy chủ sẽ gửi dữ liệu RAW làm thông tin tiêu đề với yêu cầu (đặc biệt là yêu cầu HTTP).sends a raw HTTP header to a client or browser. Before HTML, XML, JSON, or other output is given to a browser or client, the server sends raw data as header information with the request (particularly HTTP Request). |
