1.問題說明
請求IIS部署的網站可以發現響應頭中暴露了IIS服務器名稱/版本號。
漏洞等級:中
2.解決方案
想辦法隱藏掉這部分信息。
2.1 下載並安裝微軟官方IIS擴展插件
URL Rewrite Module 2.1
https://www.iis.net/downloads/microsoft/url-rewrite#additionalDownloads
改版本支持的IIS有:
翻到下面下載64位中文版:
2.2 打開IIS配置編輯器,添加rewrite配置
配置allowedServerVariables
添加屬性:REMOTE_ADDR,關閉並應用
配置outboundRules
3.實現效果
訪問IIS任意網站,使用fiddler查看響應頭信息,可以發現Server中沒有任何信息了。