敏感信息泄露之如何隐藏IIS服务器名称和版本号

原创 已于 2022-08-09 11:28:10 修改 · 1.6w 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#IIS版本号

于 2019-10-17 23:19:35 首次发布
本文介绍了一种中等风险的漏洞,即IIS部署的网站响应头中暴露服务器详细信息。通过下载安装微软官方插件URLRewriteModule2.1,并进行相应配置,可以有效隐藏这些敏感信息,提升网站安全性。

1.问题说明

请求IIS部署的网站可以发现响应头中暴露了IIS服务器名称/版本号。

漏洞等级:

2.解决方案

想办法隐藏掉这部分信息。

2.1 下载并安装微软官方IIS扩展插件

URL Rewrite Module 2.1

URL Rewrite : The Official Microsoft IIS Site

该版本支持的IIS有:

翻到下面下载64位中文版:

2.2 打开IIS配置编辑器,添加rewrite配置

配置allowedServerVariables

添加属性:REMOTE_ADDR,关闭并应用

配置outboundRules

3.实现效果

访问IIS任意网站,使用fiddler查看响应头信息,可以发现Server中没有任何信息了。

服务器版本信息泄露修改iis,IIS攻击与安全加固实例分析 -电脑资料
weixin_39633774的博客
08-12 2284
IIS作为一款流行的Web服务器,在当今互联网环境中占有很大的比重,绝大多数的asp、asp.net网站都运行在它上面,管理员的安全意识不高或技术上的疏忽而惨遭毒手。本文通过实例来谈谈针对IIS的攻击技术与安全加固措施。攻击实例IIS写权限漏洞利用我们先通过一个攻击实例来演示如何利用IIS权限配置不当来快速攻陷一个网站,以此来提高广大读者对IIS安全性的重视。目标网站IP:192.168.1.10...
【安全漏洞】隐藏服务器指纹:Nginx隐藏版本号配置修改与重启全攻略
07-22 548
🔒 Nginx安全配置指南:隐藏服务器指纹与Windows重启技巧 通过修改nginx.conf添加server_tokens off指令,可有效隐藏Nginx版本号,防止黑客针对性攻击。本文提供三种Windows环境下的Nginx配置重启方案: 1️⃣ 命令行执行nginx -s reload 2️⃣ 任务管理器直接重启服务 3️⃣ 服务管理器操作(推荐) ⚠️ 注意:重启前需用nginx -t测试配置,并确保端口无冲突。修改后可用curl命令验证效果,响应头中的Server字段将仅显示"ng
iis服务器版本信息泄漏,IIS短文件文件夹泄漏漏洞
weixin_42510841的博客
08-06 3263
本文翻译自exploit-db.com,是苦逼阿德马童鞋经过数小时折腾而成,转载请著名出处,tks.E文太菜,如果有错误之处请各位大大多多指正.IIS是有微软使用微软windows功能扩展模块创建的一套web服务器应用程序,是世界上第三个最流行的服务器。漏洞描述:漏洞研究小组发现了一个微软IIS的漏洞,攻击者可以利用一个包含”~”的get请求,来让服务器上的文件文件夹被泄漏、影响版本:IIS 1...
修改iis的banner实现操作系统版本的隐藏
07-17
构建高安全级别的主机系统的时候,对于NT系统往往有一个很尴尬的地方就是IIS的返回BANNER会很容易的泄露当前主机上NT的版本。不要轻易的泄露你的系统信息,对于真正的入侵尽量拖延扰乱入侵者的视线。
Windows IIS安装配置URL重写完整教程与Vue部署实战
最新发布
weixin_29443363的博客
09-07 991
Windows Server操作系统中的IIS(Internet Information Services)是一个灵活、安全且可扩展的Web服务器平台,广泛用于托管ASP.NET、静态网页、REST API及各类企业Web应用。其模块化架构支持动态加载功能模块,如URL重写、压缩、缓存等,极大提升了Web服务的性能与灵活性。IIS通过“站点”、“应用程序池”“模块”三层结构管理Web服务。每个站点绑定特定端口域名,运行在独立的应用程序池中,以隔离资源并提升稳定性。
IIS8 隐藏server版本信息
热门推荐
tanqth的专栏
08-24 1万+
IIS服务器端返回信息中包含有软件版本等详细信息,攻击者利用这些信息可以实现更有目的性的攻击。因此隐藏server版本信息,在一定程度上能够提高服务器的安全性。通常IIS服务会返回如下信息的。如下图: 第一步:隐藏Server信息 打开IIS管理器,找到“URL重写”并打开。点击右边的“添加规则”。 在这个选择框中选择添加出站规则,空白规则: 点击“确定”后,会出现规则设置窗口: 规则名就自己确定一个了,其他规则如下图: 设置好后保存并启用规则。 现在刷新W...
隐藏IIS版本信息
sqlora的专栏
05-14 9144
漏洞现象: [root@]# curl -I -X GET http://www.xxx.com HTTP/1.1 200 OK Content-Type: text/html Last-Modified: Mon, 09 Nov 2015 08:45:05 GMT Accept-Ranges: bytes ETag: "be665eeeca1ad11:0" Server: Micr...
IIS隐藏版本号教程(Windows Server 2003)
weixin_34405354的博客
07-20 1575
1.下载Urlscan https://www.microsoft.com/en-us/search/DownloadResults.aspx?q=URLScan(总下载页面) https://download.microsoft.com/download/1/9/8/198a7fdf-1057-4668-9f44-035f8faeaf95/Setup.EXE(适用于Windows 2000, W...
IIS错误页面隐藏版本信息 - Web.Config customErrors配置
ilqgffvramusm2864的博客
12-16 4016
目录背景分析暴露原因解决办法扩展学习customErrors使用方法参考文章 背景 项目现按照国网的要求,测试后发现系统错误页面存在服务器版本号泄露,不允许部署安装 分析暴露原因 查看请求找到如下解释: 此错误页可能包含敏感信息,因为 ASP.NET 通过 <customErrors mode=“Off”/> 被配置为显示详细错误消息。请考虑在生产环境中使用 <customErrors mode=“On”/> 或 <customErrors mode=“RemoteOnly
IIS7~IIS8.5删除或修改服务器协议头Server
09-29
"Server"响应头是当服务器返回HTTP响应时,随响应一起发送的一个HTTP头部字段,它包含了服务器软件的名称版本信息。通过修改或删除这个字段,可以提高网站的安全性。 为了解决在IIS 7到8.5版本中删除或修改...
精选资源
IIS自定义404错误页避免暴露.NET网站路径信息
01-11
再输入非.aspx页面时,显示默认404页面,暴露站点路径信息。 解决办法: 1.自定义错误页(eg:error.htm),放在站点根目录。 2.打开“错误页”,右键“编辑”,如图: 3.“错误页”,右键“编辑功能设置”,如图:...
修改IIS 的Banner 实现操作系统版本的隐藏
04-16
修改IIS 的Banner 实现操作系统版本的隐藏
IIS隐藏敏感数据信息
czjnoe的博客
02-03 1236
隐藏敏感信息
隐藏IIS的server版本信息
漂亮男孩不说谎
12-15 3962
漏洞现象: 请求响应头信息 HTTP/1.1 200 OK Content-Type: text/html Last-Modified: Mon, 09 Nov 2015 08:45:05 GMT Accept-Ranges: bytes ETag: "be665eeeca1ad11:0" Server: Microsoft-IIS/7.5 --显示web版本信息 泄露服务器版本信息 Date: Tue, 14 May 2019 09:09:50 GMT Content-Length: 1307 解
windows server 2008r2 如何隐藏iis版本号_如何拥有自己炫酷的个人博客
weixin_39579127的博客
11-29 665
看到同学使用github+hexo搭建了属于自己的博客,眼馋,弄了好久了,感觉有点眼高手低了,一直没来得及写一下自己搭建的流程,心血来潮,下边来简单介绍下搭建流程,也方便自己以后review,也可以大家共享交流技术问题。可以关注我的blog,地址:http://blog.willhappy.cn[toc]1.hexo介绍Hexo简介:Hexo是一个基于node.js快速,简介且高效的博客框架,可...
隐藏/屏蔽服务器信息与web软件版本信息
shao.bing的专栏
03-09 2872
俗话说的好,不怕偷,就怕被惦记着啊!这名话用到服务器上很适合啊。对于黑客来说,入侵第一步,一般都是先扫描,这些扫描包括服务器的类型,提供服务的软件及版本号,然后针对这些系统或软件的相应漏洞进行入侵。那么如何来隐藏这些信息呢?这就是今天的技术内容。 1、隐藏服务器系统信息 在缺省情况下,当你登陆到linux系统,它会告诉你该linux发行版的名称、版本、内核版本、服务器名称。为了不让这
web页面请求隐藏影响的IIS信息头及版本
每天进步一点点
07-27 5178
老外的一篇文章,可以看看,地址:https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/
隐藏IIS服务器上ASP.NET的版本,增强安全性
weixin_34342905的博客
01-07 2070
出于某些特殊的原因,以及安全性方面的考虑,我们可能不希望使用者知道当前程序所使用的ASP.NET的具体版本,因为知道了具体版本,就可以有针对性的测试已知的漏洞,增大了风险。 这个时候,我们就可以利用.NET的配置参数,在 web.config 中,或者在machine.config中,将ASP.NET的具体版本号,从http头中去除。 下面看一下对比图: 这是隐藏之...
IIS攻击与安全加固实例分析
weixin_34293141的博客
11-20 824
IIS作为一款流行的Web服务器,在当今互联网环境中占有很大的比重,绝大多数的asp、asp.net网站都运行在它上面。因此,也引来了无数 黑客们关注的目光。目前针对IIS的攻击技术已经非常成熟,而且相对技术门槛较低,所以很多初学者拿它来练手。许多网站因为网站管理员的安全意识不高或技 术上的疏忽而惨遭毒手。本文通过实例来谈谈针对IIS的攻击技术与安全加固措施。 攻击实例 IIS写权限漏洞利用 ...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值