Re: server_tokens как убрать имя nginx из хедеров ? дало бы больше времени админам..

Одинцов Павел pavel.odintsov at googlemail.com
Sun Sep 20 00:22:34 MSD 2009


Эксплоит есть и рабочий, по кр мере на 38м работал :)

2009/9/19 Gena Makhomed <gmm at csdoc.com>:
> On Saturday, September 19, 2009 at 14:56:02, Adrenalin wrote:
>
> A> Наличия опции которое бы давала возможность скрыть присутствие
> A> "target" nginx-a дало бы больше времени админам исправить Последние
> A> уязвимости как "allow remote attackers to execute arbitrary code"
> A> http://www.kb.cert.org/vuls/id/180065
>
> server_tokens off
>
> скрывает присутствие "target" среди 11,502,109 всех серверов nginx.
>
> A> Хорошо ещё что exploit не вышел раньше патча(0day),
> A> или может быть он где то и есть в привате..
>
> A> В lighttpd есть опция "server.tag" которое позволяет изменить
> A> tag на все что угодно, жаль что nginx берет плохой пример с apache..
>
> можно легко отличить lighttpd от apache по порядку выдачи заголовков ответа.
>
> модификация заголовка Server: не поможет скрыть наличие lighttpd на сервере.
>
> --
> Best regards,
>  Gena
>
>
>



-- 
С уважением, Одинцов Павел


More information about the nginx-ru mailing list