在公共端点发布其版本的开源web应用服务器是否是一个安全问题？

Question

如果开源web应用程序通过公开的、非访问控制的API/报头发布版本，这是否被认为是一个安全问题？

问题的前提是，如果某个特定版本存在一个漏洞，并且在以后的版本中修复了该漏洞，攻击者可以针对该漏洞版本(如果该版本是公开的)。

这类似于其他web服务器(如nginx、express)等设置像X-Powered-By: Express/1.0这样的头。

Answer 1

这通常被认为是不必要的风险，是的。对于自动外阴扫描仪或蠕虫来说，没有必要让事情变得简单，更不用说智能攻击者了。合法用户对这些信息没有任何用处，开发人员/系统管理员可以检查服务器或连接到一些只包含更多信息的内部诊断页面，这样您就可以节省少量的带宽来启动。

Answer 2

隐藏服务器的版本信息将是一种不知名的安全形式。当然不会疼，但我不认为这是一个安全问题。

攻击者可以在几分钟内轻松地针对您的服务尝试数百个已知的漏洞。在这种情况下，隐藏版本，甚至服务的名称，什么都不做，因为攻击者已经尝试了所有的东西。通常，您应该始终假定攻击者知道您的整个技术堆栈。

当然，最好的解决方案是设置策略和方法，以防止使用已知的漏洞来运行服务。在运行这些服务时，如果可以的话，我仍然会禁用它。也许它能在规模上节省几兆带宽。