Remove From My Forums

IIS 里面安全检测HTTP头信息泄漏攻击者可通过获取服务器banner信息，针对某个版本存在的漏洞进行定向攻击。

问题
0

登录进行投票
您好，

IIS 里面安全检测HTTP头信息泄漏攻击者可通过获取服务器banner信息，针对某个版本存在的漏洞进行定向攻击。

客户端的版本是windows server 2012的，请问如何隐藏或者修改banner信息。

谢谢！

hawkwang
- 已编辑 hawkwang2020 2020年9月23日 10:00
2020年9月23日 9:07

回复

|

引用

全部回复

登录进行投票

hawkwang2020 你好，

你应该是想去除掉三个头信息："server", "x-aspnet-version" 以及 "x-powered-by"

如果是的话，你只需要在web.config文件里面添加/修改如下的设定即可。


<system.web>
    <!-- 去除 x-aspnet-version 信息  -->
    <httpRuntime enableVersionHeader="false" />
</system.web>

<system.webServer>
    <httpProtocol>
        <customHeaders>
            <!--去除 X-Powered-By 头部信息 -->
            <clear />
        </customHeaders>
    </httpProtocol>

    <security>
        <!-- 去除 Server 头部信息-->
        <requestFiltering removeServerHeader ="true" />
    </security>
</system.webServer>
 
希望回答能够帮助到你。
 
Best regards,
Sean

2020年9月24日 8:59

0

登录进行投票

您好，

感谢回复！

能告诉下web.config具体在什么路径吗，我搜了下发现很多叫web.config的文件，不知道要修改那个。

另外请问下如何查看效果。之前发现问题的是安全公司，我们不知道他们是通过什么方式查到的这些信息的。

非常感谢！
hawkwang

2020年9月25日 8:26

回复

|

引用
0

登录进行投票

你好，

项目下面应该只有一个web.config文件。

你所说的有很多叫web.config文件，我理解可能是在项目下的子文件夹内。你只需要更改项目文件夹下的就可以了。

查看效果的话，直接用浏览器就可以。访问你的网站，然后按F12，打开打开工具，然后点开网络，找到你请求的地址。检查头信息就可以看到有哪些头信息了。如果修改起作用了，相应的头信息会被去除。

Best regards,

Sean

2020年9月29日 9:38

回复

|

引用
0

登录进行投票

您好，

我先尝试去修改下 X-Powered-By ，然后打开网页版邮箱出现下面的报错，去除报错消失恢复正常，

但查看邮件头 X-Powered-By依然可以看到，似乎该设置无效。

麻烦您帮忙再看看，谢谢！

hawkwang

2020年10月12日 2:58

回复

|

引用
0

登录进行投票

还有一个截图

hawkwang

2020年10月12日 3:01

回复

|

引用
0

登录进行投票

增加了您提供的几个参数后，网页版的邮箱打不开了，提示无法识别的元素。

hawkwang

2020年10月12日 3:55

回复

|

引用
0

登录进行投票

hawkwang

2020年10月12日 4:03

回复

|

引用
0

登录进行投票

从你提供的截图看，服务器使用的OS版本类似Win7，建议升级至Win10。

2020年10月12日 5:19

回复

|

引用
0

登录进行投票

您好，

服务器不是win7 是windows 2008 R2
hawkwang

2020年10月12日 12:42

回复

|

引用
0

登录进行投票

Windows 2008迁移指南

由于Windows Server 2008 和 2008 R2 的支持已于 2020 年 1 月 14 日结束，因此尽早迁移应用服务器至新的安全平台，或使用Win10提供的IIS 10版本。

2020年10月13日 0:50

回复

|

引用
0

登录进行投票
您好，

我的测试环境是win2008的，客户那边服务器是windows 2012 的环境，由于现在win2012已经在生产使用中，一时半会还无法升级到iis10。请问下在windows 2012 的IIS 8.5的版本下，按照您给出的几个修改web.config的设置可以生效吗？

如果您之前给出的不适合win 2012 iis 8.5的版本有无适合该版本的方法呢？

这个客户催了很多次了，麻烦您帮忙想想办法！！

谢谢！

hawkwang
- 已编辑 hawkwang2020 2020年10月13日 5:37
2020年10月13日 5:35

回复

|

引用
0

登录进行投票

Windows Server 2012版本的技术支持期限未结束，不必担心针对该版本的定向攻击，只需及时安装官方提供的更新程序。

2020年10月13日 8:09

回复

|

引用
0

登录进行投票
您好，

这个客户是个金融公司，安全要求极高。目前是在windows 2012 系统上安装的exchange 2013,系统已使用一段时间了。当时是访问网页版owa邮箱扫描发现的问题，隐藏我给您提出的这些http头部信息是公司的安全策略，不可违反，必须要解决。

您这边暂时不要考该产品还在支持范围的事，如果打补丁可以隐藏上述信息，请提供下具体需要打哪个补丁。如果打补丁不能隐藏上述信息的话，能否就我们的环境如何解决上述问题给出针对性的步骤和建议呢（升级服务器版本目前是行不通的）

谢谢！

hawkwang
- 已编辑 hawkwang2020 2020年10月14日 1:46
2020年10月14日 1:41

回复

|

引用
0

登录进行投票

关于你提出的这些http头部信息需要隐藏的问题，我认为需要分析这些头部信息的设计意图和使用范围。

只有搞清楚这个问题才能决定是否需要隐藏的问题。我想这些http头部信息肯定不是为定向攻击者而故意留下的，相反很可能是为其他应用程序调用时提供的参数，如果这样的话隐藏这些头部信息势必影响到其他应用程序的运行。

在鱼与熊掌不能兼得的条件下，这家金融公司的取舍方向确定後，你才能做出相应的处置方案。

2020年10月14日 4:54

回复

|

引用
0

登录进行投票

您好，

因为专业的网络安全公司给该金融单位进行安全扫描，认定这是一个漏洞有被攻击的风险，所以金融单位要求进行隐藏。这就是我们操作的原因。

这样您看可以吗，请您先给出具体的隐藏步骤。我们会在测试环境下先测试，如有问题随时恢复。（之前您给的隐藏步骤经测试有问题，导致owa网页版邮箱打不开，隐藏头部信息也没成功)

另外我记得微软有个iis banner的工具，这个能否修改http的头呢

非常感谢！

hawkwang

2020年10月14日 14:39

回复

|

引用
0

登录进行投票

去除 x-aspnet-version 信息，编辑web.config文件
<system.web>
<httpRuntime enableVersionHeader="false" />
</system.web>

去除 x-powered-by 信息，打开IIS管理器的http响应标头，参照下图：

去除 server 信息，可能需要安装URL Rewriter扩展程序，参照下图：

2020年10月15日 0:58

回复

|

引用
0

登录进行投票
您好，

1：去除x-aspnet-version 信息，我看到默认打开就是这个，该参数本来就是false，F12后依然可以看到x-aspnet-version信息，该设置是无法隐藏x-aspnet-version 信息。

2：去除 x-powered-by 信息这个方法，是有效的。

3：URL Rewriter这个下载链接能否发下，我找到似乎都是针对IIS7.0的下载链接，另外安装后如何隐藏的步骤能否也告诉下。

谢谢！

hawkwang
- 已编辑 hawkwang2020 2020年10月15日 6:51
2020年10月15日 6:48

回复

|

引用
0

登录进行投票

URL Rewrite Module download readme text

2020年10月15日 8:58

回复

|

引用

询问者

IIS 里面安全检测HTTP头信息泄漏 攻击者可通过获取服务器banner信息，针对某个版本存在的漏洞进行定向攻击。

问题

全部回复

IIS 里面安全检测HTTP头信息泄漏攻击者可通过获取服务器banner信息，针对某个版本存在的漏洞进行定向攻击。