ZenovayTools

Divulgación de Información del Servidor

Detecta encabezados HTTP que filtran versiones del servidor/tecnología: Server, X-Powered-By, X-AspNet-Version, X-Generator, X-Runtime, X-Varnish. Hallazgos calificados por severidad. Calificación A-F.

Cómo usar Divulgación de Información del Servidor

  1. 1Ingresa la URL para verificar la divulgación de información del servidor.
  2. 2La herramienta envía una solicitud HEAD y lee todos los encabezados de respuesta HTTP.
  3. 3Los encabezados que revelan versiones del servidor/tecnología se marcan con calificaciones de severidad.
  4. 4Revisa las recomendaciones para eliminar o desinfectar los encabezados de divulgación.
ZenovayAnalytics

Analytics sin ningún aviso de cookies.

  • Seguimiento de visitantes en tiempo real
  • Privacidad primero, sin aviso de cookies
  • Configurado en dos minutos
Descubre Zenovay

Herramientas relacionadas

Generador de Contraseñas
Genera contraseñas fuertes y aleatorias con longitud, caracteres y complejidad personalizables.
Verificador de Fortaleza de Contraseña
Verifica qué tan fuerte es tu contraseña. Obtén un tiempo estimado de descifrado y sugerencias de mejora.
Generador HMAC
Genera firmas HMAC usando SHA-256, SHA-384 o SHA-512 con la API Web Crypto.
Cifrado/Descifrado AES
Cifra y descifra texto usando AES-GCM con derivación de clave PBKDF2. Se ejecuta completamente en tu navegador.

Preguntas frecuentes

¿Por qué es un riesgo de seguridad la divulgación de la versión del servidor?
Cuando su cabecera Server dice «Apache/2.4.49», los atacantes pueden buscar inmediatamente CVE-2021-41773 (una vulnerabilidad crítica de path traversal de Apache específica de esa versión) y saber que su servidor es vulnerable. La divulgación de versión convierte las bases de datos públicas de CVE en una guía de ataque directa. Eliminar la información de versión no corrige las vulnerabilidades, pero elimina los objetivos fáciles para los escáneres automatizados.
¿Qué es X-Powered-By y cómo lo elimino?
X-Powered-By es añadido automáticamente por muchos frameworks: PHP añade «X-Powered-By: PHP/8.1.0», Express añade «X-Powered-By: Express», ASP.NET añade «X-Powered-By: ASP.NET». Para eliminarlo: PHP (expose_php = Off en php.ini), Express (app.disable('x-powered-by') o use helmet.js), ASP.NET (eliminación de cabeceras personalizadas en web.config), Next.js (configuración de cabeceras en next.config.js).
¿Cómo configuro Nginx para eliminar la información de versión?
Añada «server_tokens off;» en su nginx.conf (en el bloque http o server). Esto cambia «Server: nginx/1.22.1» a simplemente «Server: nginx». Para eliminarlo completamente, compile Nginx con el módulo nginx-more o use el módulo OpenResty headers-more-nginx-module para establecer cualquier valor de Server personalizado.
¿Es esto un requisito de cumplimiento?
Sí: PCI DSS 6.2.4 requiere eliminar información innecesaria de los mensajes de error y respuestas que pudieran revelar información de software/versión a los atacantes. El OWASP Top 10 incluye «Configuración de Seguridad Incorrecta», que cubre la divulgación de versión. ISO 27001 y muchos marcos de seguridad empresarial requieren minimizar la fuga de información como parte de la defensa en profundidad.
¿Eliminar las cabeceras del servidor mejora realmente la seguridad?
Es defensa en profundidad, no una solución definitiva. Un atacante determinado puede identificar su software a través de patrones de comportamiento incluso sin cabeceras de versión explícitas. Sin embargo, elimina el vector de ataque más fácil: los escáneres de vulnerabilidades automatizados (Shodan, Masscan, Nuclei) que escanean millones de servidores buscando versiones específicas. Es una mejora de mínimo esfuerzo y sin desventajas: siempre vale la pena hacerla.