測試過程
返回包中帶有一些服務的版本信息
風險分析
可通過泄露的版本信息判定服務器類型。
解決方法
修改配置文件將版本信息隱藏。
使用StripHeaders模塊刪除不必要的header
下載地址
https://github.com/Dionach/StripHeaders/releases
安裝完成后,可以在IIS 模塊找到StripHeadersModule,如圖
StripHeaders 默認會移除 Server、X-Powered-By、X-AspNet-Version 等 Response Header,不需修改config文件。 如需移除額外的Header,則可在 applicationHost.config (注意不是Web.config)system.webServer/stripHeaders 中設定。
<configuration> [...]
<system.webServer> [...]
<stripHeaders>
<header name="Server" />
<header name="X-Powered-By" />
<header name="X-Aspnet-Version" />
</stripHeaders>
</system.webServer>
</configuration>
IIS 10.1709可直接在security中配置removeServerHeader
<system.webServer>
<!-- Removed the Server header -->
<security>
<requestFiltering removeServerHeader="true" />
</security>
<system.webServer/>