技术信息泄露漏洞 (CVSSv3: 中危)

漏洞截图: 处理方式: 隐藏IIS版本号等标识信息
修改web.config会即时生效,谨慎操作生产环境!必须安装IIS URL重写模块,不然会导致IIS页面503,切记!!!

  • 隐藏Server信息
    下载对应版本URL Rewirte进行安装
1
2
3
4
5
6
7
8
9

<!--在web.config的system.webServer节点下添加以下内容-->
      <rewrite> 
        <outboundRules> 
          <rule name="REMOVE_RESPONSE_SERVER"> 
            <match serverVariable="RESPONSE_SERVER" pattern=".*" /> 
            <action type="Rewrite" /> 
          </rule> 
        </outboundRules> 
      </rewrite>
  • 隐藏x-powered-by信息
1
2
3
4

<!--在web.config的system.webServer节点下添加以下内容,如果customHeaders节点已存在,直接在节点中添加即可-->
  <customHeaders>
    <remove name="X-Powered-By" />
  </customHeaders>

1
2
3
4
5

cd C:\Windows\System32\inetsrv
# 加载模块
appcmd.exe install module /name:StripHeadersModule /image:%windir%\system32\inetsrv\stripheaders.dll /add:true /lock:true
# 卸载模块
appcmd.exe uninstall module "StripHeadersModule"

操作成功后,X-AspNet-Version信息会自动隐藏