服务器版本信息泄露-iis返回包暴露服务器版本信息
漏洞信息描述:服务器版本信息泄露
测试过程:访问http://192.168.23.63,看返回包可以得知服务器版本信息
显示暴露返回server版本信息
修复建议:限制返回包带有服务器版本信息
如何隐藏IIS Web服务响应头中的IIS Server版本信息
以下示例以IIS 10.0版本为例,为您介绍如何通过URL Rewrite组件隐藏IISWeb服务响应头中的IIS服务版本信息。
-
查看是否安装
URL Rewrite组件。-
在您的Windows Server实例中,打开服务器管理器,单击左侧的IIS菜单。
-
在右侧服务器区域,右键单击相应的服务器名称,然后在弹出的菜单中单击Internet Information Services(IIS)管理器。
-
在打开的Internet Information Services(IIS)管理器页面左侧,单击您想要管理的服务器名称。如果在右侧IIS页签中找到URL Rewrite组件,则表明已安装URL Rewrite组件。如未找到,请参阅微软官方文档安装URL Rewrite组件,具体操作,请参见URL Rewrite : The Official Microsoft IIS Site。
-
-
修改IIS配置文件以隐藏响应头中的
IIS版本信息。-
在Internet Information Services(IIS)管理器页面的左侧依次单击服务器名称、网站、并最终选中您的网站,然后在右侧点击浏览以打开网站根目录。
-
在网站根目录中新建或打开
web.config配置文件。-
新建配置文件:请在配置文件中添加如下内容。
-
打开已有配置文件:请根据现有内容新增下述XML配置项,并确保修改后的配置文件符合XML格式要求。(本人是将下列<rewrite>的内容直接复制到<system.webServer>内)
-
-
<?xml version="1.0" encoding="utf-8"?>
<configuration><location path="." inheritInChildApplications="false"><system.webServer><rewrite><outboundRules><rule name="移除响应头中的IIS SERVER版本信息"><match serverVariable="RESPONSE_SERVER" pattern=".*" /><action type="Rewrite" /></rule></outboundRules></rewrite></system.webServer></location>
</configuration>
3.验证配置是否生效。
通过浏览器访问网站页面,并使用开发者工具查看响应头中的IIS SERVER版本信息是否为空。如下图所示,表明配置生效。
测试步骤为:在浏览器中打开网址,然后在network中查看,如下:
