测试过程
返回包中带有一些服务的版本信息
风险分析
可通过泄露的版本信息判定服务器类型。
解决方法
修改配置文件将版本信息隐藏。
使用StripHeaders模块删除不必要的header
下载地址
https://github.com/Dionach/StripHeaders/releases
安装完成后,可以在IIS 模块找到StripHeadersModule,如图
StripHeaders 默认会移除 Server、X-Powered-By、X-AspNet-Version 等 Response Header,不需修改config文件。 如需移除额外的Header,则可在 applicationHost.config (注意不是Web.config)system.webServer/stripHeaders 中设定。
<configuration> [...]
<system.webServer> [...]
<stripHeaders>
<header name="Server" />
<header name="X-Powered-By" />
<header name="X-Aspnet-Version" />
</stripHeaders>
</system.webServer>
</configuration>
IIS 10.1709可直接在security中配置removeServerHeader
<system.webServer>
<!-- Removed the Server header -->
<security>
<requestFiltering removeServerHeader="true" />
</security>
<system.webServer/>