敏感信息泄露之如何隐藏IIS服务器名称和版本号
1.问题说明
请求IIS部署的网站可以发现响应头中暴露了IIS服务器名称/版本号。
漏洞等级:中
2.解决方案
想办法隐藏掉这部分信息。
2.1 下载并安装微软官方IIS扩展插件
URL Rewrite Module 2.1
https://www.iis.net/downloads/microsoft/url-rewrite#additionalDownloads
改版本支持的IIS有:
翻到下面下载64位中文版:
2.2 打开IIS配置编辑器,添加rewrite配置
配置allowedServerVariables
添加属性:REMOTE_ADDR,关闭并应用
配置outboundRules
3.实现效果
访问IIS任意网站,使用fiddler查看响应头信息,可以发现Server中没有任何信息了。