服务器版本信息泄露-iis返回包暴露服务器版本信息

漏洞信息描述：服务器版本信息泄露

测试过程：访问http://192.168.23.63，看返回包可以得知服务器版本信息

显示暴露返回server版本信息

修复建议：限制返回包带有服务器版本信息

如何隐藏IIS Web服务响应头中的IIS Server版本信息

以下示例以IIS 10.0版本为例，为您介绍如何通过URL Rewrite组件隐藏IISWeb服务响应头中的IIS服务版本信息。

1. 查看是否安装URL Rewrite组件。

   1. 在您的Windows Server实例中，打开服务器管理器 ，单击左侧的IIS菜单。

   2. 在右侧服务器 区域，右键单击相应的服务器名称，然后在弹出的菜单中单击Internet Information Services（IIS）管理器。

      

   3. 在打开的Internet Information Services（IIS）管理器 页面左侧，单击您想要管理的服务器名称。如果在右侧IIS页签中找到URL Rewrite 组件，则表明已安装URL Rewrite组件。如未找到，请参阅微软官方文档安装URL Rewrite 组件，具体操作，请参见URL Rewrite : The Official Microsoft IIS Site。

2. 修改IIS配置文件以隐藏响应头中的IIS版本信息。

   1. 在Internet Information Services（IIS）管理器 页面的左侧依次单击服务器名称、网站、并最终选中您的网站，然后在右侧点击浏览以打开网站根目录。

      

   2. 在网站根目录中新建或打开web.config配置文件。

      1. 新建配置文件：请在配置文件中添加如下内容。

      2. 打开已有配置文件：请根据现有内容新增下述XML配置项，并确保修改后的配置文件符合XML格式要求。（本人是将下列<rewrite>的内容直接复制到<system.webServer>内）

   <?xml version="1.0" encoding="utf-8"?> <configuration> <location path="." inheritInChildApplications="false"> <system.webServer> <rewrite> <outboundRules> <rule name="移除响应头中的IIS SERVER版本信息"> <match serverVariable="RESPONSE_SERVER" pattern=".*" /> <action type="Rewrite" /> </rule> </outboundRules> </rewrite> </system.webServer> </location> </configuration>

3.验证配置是否生效。

通过浏览器访问网站页面，并使用开发者工具查看响应头中的IIS SERVER版本信息是否为空。如下图所示，表明配置生效。

测试步骤为：在浏览器中打开网址，然后在network中查看，如下：