敏感信息泄露之如何隐藏IIS服务器名称和版本号

已于 2022-08-09 11:28:10 修改
阅读量1.6w 收藏 18
点赞数 2
CC 4.0 BY-SA版权
分类专栏: # 安全问题 系统运维 文章标签: IIS版本号
于 2019-10-17 23:19:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/IndexMan/article/details/102616920
本文介绍了一种中等风险的漏洞,即IIS部署的网站响应头中暴露服务器详细信息。通过下载安装微软官方插件URLRewriteModule2.1,并进行相应配置,可以有效隐藏这些敏感信息,提升网站安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.问题说明

请求IIS部署的网站可以发现响应头中暴露了IIS服务器名称/版本号。

漏洞等级:

2.解决方案

想办法隐藏掉这部分信息。

2.1 下载并安装微软官方IIS扩展插件

URL Rewrite Module 2.1

URL Rewrite : The Official Microsoft IIS Site

该版本支持的IIS有:

翻到下面下载64位中文版:

2.2 打开IIS配置编辑器,添加rewrite配置

配置allowedServerVariables

添加属性:REMOTE_ADDR,关闭并应用

配置outboundRules

3.实现效果

访问IIS任意网站,使用fiddler查看响应头信息,可以发现Server中没有任何信息了。

IIS服务器URL重写配置完整教程
05-14 800
本文介绍了如何在IIS服务器上配置URL重写功能。首先,从指定链接下载并安装URLRewriteModule 2.1Application Request Routing (ARR)。安装完成后,启用ARR的代理功能。接着,在IIS中打开URL重写功能,并添加一个空白规则,将/api/重写为http://localhost:5566/api/。配置完成后,通过访问http://localhost/api/sys/auth/b/getLoginUser测试重写是否生效,确保请求被正确重定向到http://l
服务器版本信息泄露修改iis,IIS攻击与安全加固实例分析 -电脑资料
weixin_39633774的博客
08-12 2232
IIS作为一款流行的Web服务器,在当今互联网环境中占有很大的比重,绝大多数的asp、asp.net网站都运行在它上面,管理员的安全意识不高或技术上的疏忽而惨遭毒手。本文通过实例来谈谈针对IIS的攻击技术与安全加固措施。攻击实例IIS写权限漏洞利用我们先通过一个攻击实例来演示如何利用IIS权限配置不当来快速攻陷一个网站,以此来提高广大读者对IIS安全性的重视。目标网站IP:192.168.1.10...
隐藏IIS版本信息
sqlora的专栏
05-14 8993
漏洞现象: [root@]# curl -I -X GET http://www.xxx.com HTTP/1.1 200 OK Content-Type: text/html Last-Modified: Mon, 09 Nov 2015 08:45:05 GMT Accept-Ranges: bytes ETag: "be665eeeca1ad11:0" Server: Micr...
修改iis的banner实现操作系统版本的隐藏
07-17
构建高安全级别的主机系统的时候,对于NT系统往往有一个很尴尬的地方就是IIS的返回BANNER会很容易的泄露当前主机上NT的版本。不要轻易的泄露你的系统信息,对于真正的入侵尽量拖延扰乱入侵者的视线。
IIS8 隐藏server版本信息
热门推荐
tanqth的专栏
08-24 1万+
IIS服务器端返回信息中包含有软件版本等详细信息,攻击者利用这些信息可以实现更有目的性的攻击。因此隐藏server版本信息,在一定程度上能够提高服务器的安全性。通常IIS服务会返回如下信息的。如下图: 第一步:隐藏Server信息 打开IIS管理器,找到“URL重写”并打开。点击右边的“添加规则”。 在这个选择框中选择添加出站规则,空白规则: 点击“确定”后,会出现规则设置窗口: 规则名就自己确定一个了,其他规则如下图: 设置好后保存并启用规则。 现在刷新W...
IIS隐藏版本号教程(Windows Server 2003)
weixin_34405354的博客
07-20 1556
1.下载Urlscan https://www.microsoft.com/en-us/search/DownloadResults.aspx?q=URLScan(总下载页面) https://download.microsoft.com/download/1/9/8/198a7fdf-1057-4668-9f44-035f8faeaf95/Setup.EXE(适用于Windows 2000, W...
IIS隐藏敏感数据信息
czjnoe的博客
02-03 1168
隐藏敏感信息
IIS错误页面隐藏版本信息 - Web.Config customErrors配置
ilqgffvramusm2864的博客
12-16 3862
目录背景分析暴露原因解决办法扩展学习customErrors使用方法参考文章 背景 项目现按照国网的要求,测试后发现系统错误页面存在服务器版本号泄露,不允许部署安装 分析暴露原因 查看请求找到如下解释: 此错误页可能包含敏感信息,因为 ASP.NET 通过 <customErrors mode=“Off”/> 被配置为显示详细错误消息。请考虑在生产环境中使用 <customErrors mode=“On”/> 或 <customErrors mode=“RemoteOnly
服务器中间件版本信息泄露,中间件版本信息泄露漏洞
weixin_42427302的博客
08-05 5854
中间件版本信息泄露漏洞《Web安全测试学习手册》- 中间件版本信息泄露漏洞0x00 中间件版本信息泄露漏洞1)什么是中间件版本信息泄露漏洞通常在HTTP报文的响应头中存在的标志、版本号等信息均属于中间件的版本信息泄露漏洞。2)中间件版本信息泄露漏洞的特点通常出现在默认安装好的Web中间件上,大部分管理员都不会修改这个标志。0x01 中间件版本信息泄露漏洞 - 风险等级低0x02 中间件版本信息泄露...
IIS7~IIS8.5删除或修改服务器协议头Server
09-29
"Server"响应头是当服务器返回HTTP响应时,随响应一起发送的一个HTTP头部字段,它包含了服务器软件的名称版本信息。通过修改或删除这个字段,可以提高网站的安全性。 为了解决在IIS 7到8.5版本中删除或修改...
IIS自定义404错误页避免暴露.NET网站路径信息
01-11
再输入非.aspx页面时,显示默认404页面,暴露站点路径信息。 解决办法: 1.自定义错误页(eg:error.htm),放在站点根目录。 2.打开“错误页”,右键“编辑”,如图: 3.“错误页”,右键“编辑功能设置”,如图:...
修改IIS 的Banner 实现操作系统版本的隐藏
04-16
修改IIS 的Banner 实现操作系统版本的隐藏
修改IIS的BANNER实现操作系统版本的隐藏.pdf
03-29
修改IIS的BANNER实现操作系统版本的隐藏.pdf
隐藏/屏蔽服务器信息与web软件版本信息
shao.bing的专栏
03-09 2826
俗话说的好,不怕偷,就怕被惦记着啊!这名话用到服务器上很适合啊。对于黑客来说,入侵第一步,一般都是先扫描,这些扫描包括服务器的类型,提供服务的软件及版本号,然后针对这些系统或软件的相应漏洞进行入侵。那么如何来隐藏这些信息呢?这就是今天的技术内容。 1、隐藏服务器系统信息 在缺省情况下,当你登陆到linux系统,它会告诉你该linux发行版的名称、版本、内核版本、服务器名称。为了不让这
隐藏IIS的server版本信息
漂亮男孩不说谎
12-15 3816
漏洞现象: 请求响应头信息 HTTP/1.1 200 OK Content-Type: text/html Last-Modified: Mon, 09 Nov 2015 08:45:05 GMT Accept-Ranges: bytes ETag: "be665eeeca1ad11:0" Server: Microsoft-IIS/7.5 --显示web版本信息 泄露服务器版本信息 Date: Tue, 14 May 2019 09:09:50 GMT Content-Length: 1307 解
windows server 2008r2 如何隐藏iis版本号_如何拥有自己炫酷的个人博客
weixin_39579127的博客
11-29 638
看到同学使用github+hexo搭建了属于自己的博客,眼馋,弄了好久了,感觉有点眼高手低了,一直没来得及写一下自己搭建的流程,心血来潮,下边来简单介绍下搭建流程,也方便自己以后review,也可以大家共享交流技术问题。可以关注我的blog,地址:http://blog.willhappy.cn[toc]1.hexo介绍Hexo简介:Hexo是一个基于node.js快速,简介且高效的博客框架,可...
一项一项教你测等保2.0——Windows入侵防范
荒野求生的博客
09-27 4441
一项一项教你测等保2.0——Windows入侵防范 原创科技兴2020-09-23 18:32:55 一、前言 随着社会的进步科技的发展,新技术、新业务下的产品与服务不断创新与升级,云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用,使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求,并且以“勒索病毒”为代表的新型攻击席卷全球,使传统安全防护手段已经难以有效保护网络空间安全,网络安全保护体系需要全面升级,以便配合《网络安全法》的实施,下面结合我多..
web页面请求隐藏影响的IIS信息头及版本
每天进步一点点
07-27 5140
老外的一篇文章,可以看看,地址:https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/
隐藏IIS服务器上ASP.NET的版本,增强安全性
weixin_34342905的博客
01-07 2048
出于某些特殊的原因,以及安全性方面的考虑,我们可能不希望使用者知道当前程序所使用的ASP.NET的具体版本,因为知道了具体版本,就可以有针对性的测试已知的漏洞,增大了风险。 这个时候,我们就可以利用.NET的配置参数,在 web.config 中,或者在machine.config中,将ASP.NET的具体版本号,从http头中去除。 下面看一下对比图: 这是隐藏之...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值