敏感信息泄露之如何隐藏IIS服务器名称和版本号

来源：https://blog.csdn.net/IndexMan/article/details/102616920

1. 问题说明

   
   

请求IIS部署的网站可以发现响应头中暴露了IIS服务器名称/版本号。

漏洞等级：中

2.解决方案

想办法隐藏掉这部分信息。

2.1 下载并安装微软官方IIS扩展插件

URL Rewrite Module 2.1

https://www.iis.net/downloads/microsoft/url-rewrite#additionalDownloads

改版本支持的IIS有：

翻到下面下载64位中文版：

2.2 打开IIS配置编辑器，添加rewrite配置

 

配置allowedServerVariables

添加属性：REMOTE_ADDR，关闭并应用

配置outboundRules

RESPONSE_SERVER

REMOVE_RESPONSE_SERVER

添加项。

3.实现效果

 

访问IIS任意网站，使用fiddler查看响应头信息，可以发现Server中没有任何信息了。

二、部署.net网站配置文件移除不必要http头网站安全

原文：https://jingyan.baidu.com/article/e75057f2c33eefebc91a89a5.html

在网站通过http请求交互的时候，http头包含了一些信息，这些信息并不是必须的，却暴露了网站的一些特点，有可能危害网站的安全。比如这些http头信息会暴露网站的编程语言以及版本等。对于这些信息，可以通过网站的配置文件来移除。

1. 这时打开网站的物理目录，找到web.config文件，并用记事本打开。

   

2. 在配置文件中，找到“<system.web>”配置节

   

3. 5

   在“<system.web>”配置节下添加配置节：“<httpRuntime enableVersionHeader="false" />”这个配置节的含义是在http请求时不在http头显示版本信息