隐藏版本号

风险分析

攻击者可利用泄漏的敏感信息，获取网站服务器web路径或其他配置信息，为进一步攻击提供帮助。

修改配置文件nginx.conf文件即可：

server_tokens off;

修改位置如下：

修改效果：

禁用HTTP方法

风险分析

可能会在Web 服务器上传、修改或删除Web 页面、脚本和文件。

修改配置文件nginx.conf文件如下位置：

if ($request_method !~* GET|POST|HEAD) {
    return 403;
}

修改后验证

curl -v -X OPTIONS url_xxx

修改效果：

禁止遍历图片目录

风险分析：

任何人都可以浏览该目录下的所有文件列表；

如果该目录不存在默认的主页面文件，并且该目录包含了敏感的文件内容（如应用程序源码文件或其它的重要文件内容），那么将导致敏感文件内容外泄，从而对企业造成直接的经济损失或为恶意攻击者提供进一步攻击的有效信息。

修改nginx配置文件，修改autoindex值为off。