ZenovayTools

Divulgation d'Informations Serveur

Détecte les en-têtes HTTP qui divulguent les versions serveur/technologie : Server, X-Powered-By, X-AspNet-Version, X-Generator, X-Runtime, X-Varnish. Résultats avec classification de gravité. Classement A-F.

Comment utiliser Divulgation d'Informations Serveur

  1. 1Entrez l'URL à vérifier pour la divulgation d'informations serveur.
  2. 2L'outil envoie une requête HEAD et lit tous les en-têtes de réponse HTTP.
  3. 3Les en-têtes révélant les versions serveur/technologie sont signalés avec des classifications de gravité.
  4. 4Consultez les recommandations pour supprimer ou nettoyer les en-têtes de divulgation.
ZenovayAnalytics

Analytics sans aucun bandeau cookies.

  • Suivi des visiteurs en temps réel
  • Vie privée d'abord, sans bandeau cookies
  • Installé en deux minutes
Découvrir Zenovay

Outils connexes

Générateur de Mot de Passe
Générez des mots de passe forts et aléatoires avec longueur, caractères et complexité personnalisables.
Vérificateur de Force de Mot de Passe
Vérifiez la force de votre mot de passe. Obtenez un temps de fissuration estimé et des suggestions d'amélioration.
Générateur HMAC
Générez des signatures HMAC en utilisant SHA-256, SHA-384 ou SHA-512 avec l'API Web Crypto.
Chiffrement/Déchiffrement AES
Chiffrez et déchiffrez du texte avec AES-GCM et la dérivation de clé PBKDF2. S'exécute entièrement dans votre navigateur.

Questions fréquemment posées

Pourquoi la divulgation de la version du serveur est-elle un risque de sécurité ?
Lorsque votre en-tête Server indique 'Apache/2.4.49', les attaquants peuvent immédiatement rechercher CVE-2021-41773 (une vulnérabilité critique de traversée de chemin Apache spécifique à cette version) et savoir que votre serveur est vulnérable. La divulgation de version transforme les bases de données CVE publiques en guide d'attaque direct. Supprimer les informations de version ne corrige pas les vulnérabilités mais supprime les fruits à portée de main pour les scanners automatisés.
Qu'est-ce que X-Powered-By et comment le supprimer ?
X-Powered-By est automatiquement ajouté par de nombreux frameworks : PHP ajoute 'X-Powered-By: PHP/8.1.0', Express ajoute 'X-Powered-By: Express', ASP.NET ajoute 'X-Powered-By: ASP.NET'. Supprimez-le dans : PHP (expose_php = Off dans php.ini), Express (app.disable('x-powered-by') ou utilisez helmet.js), Next.js (configuration des en-têtes dans next.config.js).
Comment configurer Nginx pour supprimer les informations de version ?
Ajoutez 'server_tokens off;' à votre nginx.conf (dans le bloc http ou server). Cela remplace 'Server: nginx/1.22.1' par simplement 'Server: nginx'. Pour une suppression complète, compilez Nginx avec le module nginx-more ou utilisez nginx-module headers-more pour définir une valeur Server personnalisée.
Est-ce une exigence de conformité ?
Oui — PCI DSS 6.2.4 exige la suppression des informations inutiles des messages d'erreur et des réponses qui pourraient révéler des informations logicielles/de version aux attaquants. L'OWASP Top 10 inclut la « Mauvaise configuration de sécurité » qui couvre la divulgation de version.
La suppression des en-têtes serveur améliore-t-elle réellement la sécurité ?
C'est une défense en profondeur, pas une solution miracle. Un attaquant déterminé peut identifier votre logiciel par les patterns de comportement même sans en-têtes de version explicites. Cependant, cela élimine le vecteur d'attaque le plus facile : les scanners de vulnérabilités automatisés qui recherchent des versions spécifiques. C'est une amélioration à effort minimal et sans inconvénient — toujours utile à faire.