【原创】如何在Apache默认403、404等页面中隐藏Apache、OpenSSL及PHP版本？

manon 2017-6-14 12:43 Apache 抢沙发 265人打酱油打开侧边栏| 关闭侧边栏

问题背景：

经常我们在访问到403、404等页面时，Apache服务器的HTTP响应头默认会包含Apache、OpenSSL以及PHP版本号。如截图所示，这是很危险的，因为别有用心的人看到这些详细的系统以及版本号信息以后，就可以对该已知版本发起针对性的漏洞攻击。

解决方法：

找到Apache主配置文件httpd.conf【找不到？ grep 下关键字试试】, 设置如下两项的值：

1. ServerSignature Off

2. ServerTokens Prod

参数解读：

【下面是ServerTokens的一些可能的赋值】
ServerTokens Prod    回显   "Server: Apache"
ServerTokens Major 回显 "Server: Apache/2"
ServerTokens Minor 回显 "Server: Apache/2.4"
ServerTokens Min     回显 "Server: Apache/2.4.3"
ServerTokens OS    回显 "Server: Apache/2.4.3 (Unix)"
ServerTokens Full     回显 "Server: Apache/2.4.3 (Unix) PHP/5.5.3" (这个即默认的返回信息)