敏感信息泄露之如何隐藏IIS服务器名称和版本号

1.问题说明

请求IIS部署的网站可以发现响应头中暴露了IIS服务器名称/版本号。

漏洞等级：中

2.解决方案

想办法隐藏掉这部分信息。

2.1 下载并安装微软官方IIS扩展插件

URL Rewrite Module 2.1

URL Rewrite : The Official Microsoft IIS Site

该版本支持的IIS有：

翻到下面下载64位中文版：

2.2 打开IIS配置编辑器，添加rewrite配置

配置allowedServerVariables

添加属性：REMOTE_ADDR，关闭并应用

配置outboundRules

3.实现效果

访问IIS任意网站，使用fiddler查看响应头信息，可以发现Server中没有任何信息了。