欢迎来到七彩学科网! | 帮助中心 分享知识,梦想从这里启程!
七彩学科网

敏感信息泄露之如何隐藏IIS服务器名称和版本号

来源:https://blog.csdn.net/IndexMan/article/details/102616920

  1. 问题说明


请求IIS部署的网站可以发现响应头中暴露了IIS服务器名称/版本号。




漏洞等级:中


2.解决方案

想办法隐藏掉这部分信息。


2.1 下载并安装微软官方IIS扩展插件

URL Rewrite Module 2.1

https://www.iis.net/downloads/microsoft/url-rewrite#additionalDownloads

改版本支持的IIS有:


翻到下面下载64位中文版:


2.2 打开IIS配置编辑器,添加rewrite配置


 

配置allowedServerVariables


添加属性:REMOTE_ADDR,关闭并应用




配置outboundRules

RESPONSE_SERVER

REMOVE_RESPONSE_SERVER



添加项。

3.实现效果

 


访问IIS任意网站,使用fiddler查看响应头信息,可以发现Server中没有任何信息了。


二、部署.net网站配置文件移除不必要http头网站安全


原文:https://jingyan.baidu.com/article/e75057f2c33eefebc91a89a5.html

在网站通过http请求交互的时候,http头包含了一些信息,这些信息并不是必须的,却暴露了网站的一些特点,有可能危害网站的安全。比如这些http头信息会暴露网站的编程语言以及版本等。对于这些信息,可以通过网站的配置文件来移除。


  1. 这时打开网站的物理目录,找到web.config文件,并用记事本打开。

    部署.net网站配置文件移除不必要http头网站安全

  2. 在配置文件中,找到“<system.web>”配置节

    部署.net网站配置文件移除不必要http头网站安全

  3. 5

    在“<system.web>”配置节下添加配置节:“<httpRuntime enableVersionHeader="false" />”这个配置节的含义是在http请求时不在http头显示版本信息


关于我们 - 版权申诉 - 推广中心 - 求助中心 - 网站声明 - 服务中心 - 资源地图 - 联系我们 - 机构入驻

Copyright@ 2011-2021 7cxk.com网站版权所有

工信部备案: 辽ICP备14008683号-4    经营许可证编号:辽B2-20200372   辽公网安备 21102102000122号

本站为信息分享及获取平台,本站所有文档下载所得收益归上传人(含作者)所有。
不确保部分用户上传资料的来源及知识产权归属,如您发现相关资料侵犯您的合法权益,请联系我们,我们核实后将及时进行处理。
版权申诉