敏感信息泄露之如何隐藏IIS服务器名称和版本号 qiqingsong 2021-08-13 1187 收藏 来源:https://blog.csdn.net/IndexMan/article/details/102616920问题说明请求IIS部署的网站可以发现响应头中暴露了IIS服务器名称/版本号。漏洞等级:中2.解决方案想办法隐藏掉这部分信息。2.1 下载并安装微软官方IIS扩展插件URL Rewrite Module 2.1https://www.iis.net/downloads/microsoft/url-rewrite#additionalDownloads改版本支持的IIS有:翻到下面下载64位中文版:2.2 打开IIS配置编辑器,添加rewrite配置 配置allowedServerVariables添加属性:REMOTE_ADDR,关闭并应用配置outboundRulesRESPONSE_SERVERREMOVE_RESPONSE_SERVER添加项。3.实现效果 访问IIS任意网站,使用fiddler查看响应头信息,可以发现Server中没有任何信息了。二、部署.net网站配置文件移除不必要http头网站安全原文:https://jingyan.baidu.com/article/e75057f2c33eefebc91a89a5.html在网站通过http请求交互的时候,http头包含了一些信息,这些信息并不是必须的,却暴露了网站的一些特点,有可能危害网站的安全。比如这些http头信息会暴露网站的编程语言以及版本等。对于这些信息,可以通过网站的配置文件来移除。这时打开网站的物理目录,找到web.config文件,并用记事本打开。在配置文件中,找到“<system.web>”配置节5在“<system.web>”配置节下添加配置节:“<httpRuntime enableVersionHeader="false" />”这个配置节的含义是在http请求时不在http头显示版本信息 上一篇:iis8 对路径“XXXX”的访问被拒绝的解决办法 下一篇:Cookie没有HttpOnly标志咋办?IIS设置HttpOnly