ZenovayTools

Detecção de Divulgação de Informações do Servidor

Detecta headers HTTP que vazam versões de servidor/tecnologia: Server, X-Powered-By, X-AspNet-Version, X-Generator, X-Runtime, X-Varnish. Descobertas com classificação de severidade. Avaliação A-F.

Como Usar Detecção de Divulgação de Informações do Servidor

  1. 1Digite a URL a ser verificada para divulgação de informações do servidor.
  2. 2A ferramenta envia uma solicitação HEAD e lê todos os headers de resposta HTTP.
  3. 3Headers que revelam versões de servidor/tecnologia são sinalizados com classificações de severidade.
  4. 4Revise as recomendações para remover ou sanitizar os headers de divulgação.
ZenovayAnalytics

Analytics sem nenhum banner de cookies.

  • Acompanhamento de visitantes em tempo real
  • Privacidade em primeiro lugar, sem banner de cookies
  • Configurado em dois minutos
Conheça o Zenovay

Ferramentas Relacionadas

Gerador de Senha
Gere senhas fortes e aleatórias com comprimento, caracteres e complexidade personalizáveis.
Verificador de Força da Senha
Verifique o quão forte é sua senha. Obtenha um tempo estimado de quebra e sugestões de melhoria.
Gerador HMAC
Gere assinaturas HMAC usando SHA-256, SHA-384 ou SHA-512 com a Web Crypto API.
Criptografia/Descriptografia AES
Criptografe e descriptografe texto usando AES-GCM com derivação de chave PBKDF2. Executa totalmente no seu navegador.

Perguntas Frequentes

Por que divulgar a versão do servidor é um risco de segurança?
Quando seu cabeçalho Server diz 'Apache/2.4.49', os atacantes podem imediatamente consultar o CVE-2021-41773 (uma vulnerabilidade crítica de path traversal específica para aquela versão) e saber que seu servidor é vulnerável. A divulgação de versão transforma os bancos de dados CVE públicos em um guia de ataque direto. Remova ou genérico o cabeçalho Server: mude 'Apache/2.4.49' para apenas 'Apache' ou remova completamente.
O que é X-Powered-By e como faço para removê-lo?
X-Powered-By é adicionado automaticamente por muitos frameworks: PHP adiciona 'X-Powered-By: PHP/8.1.0', Express adiciona 'X-Powered-By: Express', ASP.NET adiciona 'X-Powered-By: ASP.NET'. Remova-o em: PHP (expose_php = Off em php.ini), Express (app.disable('x-powered-by') ou use helmet.js), ASP.NET (via configuração em web.config).
Como configuro o Nginx para remover informações de versão?
Adicione 'server_tokens off;' ao seu nginx.conf (no bloco http ou server). Isso muda 'Server: nginx/1.22.1' para apenas 'Server: nginx'. Para remoção completa, compile o Nginx com o módulo nginx-more ou use o headers-more-nginx-module do OpenResty para definir qualquer valor personalizado de Server.
Isso é um requisito de conformidade?
Sim — o PCI DSS 6.2.4 exige a remoção de informações desnecessárias de mensagens de erro e respostas que possam revelar informações de software/versão para atacantes. O OWASP Top 10 inclui 'Configuração Incorreta de Segurança' que abrange a divulgação de versão. O ISO 27001 e muitos frameworks de segurança empresarial têm requisitos semelhantes.
Remover cabeçalhos de servidor realmente melhora a segurança?
É defesa em profundidade, não uma solução mágica. Um atacante determinado pode identificar o software pelo comportamento mesmo sem cabeçalhos de versão explícitos. No entanto, elimina o vetor de ataque mais fácil: scanners de vulnerabilidade automatizados (Shodan, Masscan, Nuclei) que verificam versões específicas de vulnerabilidades conhecidas.