IIS漏洞过滤
IIS漏洞报告会提示网站HEAD包含Server版本信息导致版本泄漏,看起来不是大问题的漏洞却被分到中危或高危的行列中, 因为攻击者可能使用被披露信息获取特定版本发现的安全漏洞以及利用程序.
下面提供三种方法进行安全补救,方法一测试结果很满意
一: 安装UrlScan
- 安装微软推出的UrlScan这套工具,下载地址下载地址:
http://www.microsoft.com/en-us/search/DownloadResults.aspx?q=URLScan
- 默认安装成功后用记事本打开C:\Windows\System32\inetsrv\urlscan下的UrlScan.ini文件
- 重启IIS服务(重新后才能生效,后期修改.ini配置文件参数实时生效无需重启)
- 里面有很多参数配置,将其中RemoveServerHeader这一项的值改为0则取消IIS里的Server的版本信息(里面参数比对参考下一篇《URLScan参数说明》)
注:本方法本地已测试确实很好用,URL下载文件默认禁用中文命名文件修改对应参数即可恢复
二:IIS删除X-Powered-By
- 打开IIS,右键所属网站属性
- 选择“HTTP头”,选中自定义HTTP头中的“X-Powered-By:ASP.NET”点击删除即可
三:添加web.config配置(不建议使用)
在<system.web>节点下添加<httpRuntime enableVersionHeader="false" />
测试了很多方法,最后选用了文章中的第一种(不必担心安全性)