X Powered By

Hlavička X-Powered-By sděluje na jakém systému, frameworku nebo aplikaci je web provozován.

X-Powered-By je nestandardizovaná informativní hlavička, kterou používají některé systémy a aplikace. Tuto hlavičku můžeme považovat i za bezpečnostní riziko, neboť odhaluje informace, které by jinak mohly být obtížněji zjistitelné. Případný útočník tak může automatizovat procesy testování exploitů a zranitelnosti na nalezených systémech.

Proč (ne)používat X-Powered-By

Smyslem hlavičky X-Powered-By je pouze poskytovat informace o konkrétním webovém serveru nebo aplikaci a nemá jiný účel. Zobrazení těchto informací nemusí být žádoucí, je vhodné je "přepsat" nebo rovnou toto záhlaví v aplikaci nebo na serveru deaktivovat, aby případní útočníci nemohli jednoduše odhalit používaný software.

Syntaxe

Header add Custom-Header "parameter=value"

Podobné hlavičky jsou také X-AspNet-Version a X-AspNetMvc-Version.

Definice hlavičky X-Powered-By

Vytvoření označení vlastní aplikace

X-Powered-By: "myAPP"

Nastavení X-Powered-By

.htaccess

# X-Powered-By settings
Header set X-Powered-By "myWebAPP"

Odstranění hlavičky X-Powered-By

Header unset X-Powered-By

Odstranění hlavičky nemusí fungovat pro všechny systémy a aplikace.

Nginx

add_header X-Powered-By "myWebAPP";

Potenciální chyby v nastavení

Častý problém není v nastavení hlavičky, ale naopak ve snaze hlavičku odstranit.
Podobnou hlavičku SERVER Apache/x.x.xx (Debian) nelze odstranit v .htaccess.

Užitečné zdroje

• Removing X-Powered-By ASP.Net and other version headers
• Removing Unnecessary HTTP Headers in IIS and ASP.NET

Reálné X-Powered-By hlavičky

Ukázka odesílaných hlaviček systému pro "Elektronické podání občanů".

Server: Microsoft-IIS/8.5
X-Powered-By: Nette Framework
X-Powered-By: ASP.NET