none
IIS 里面安全检测HTTP头信息泄漏 攻击者可通过获取服务器banner信息,针对某个版本存在的漏洞进行定向攻击。 RRS feed

  • 问题

  • 您好,

    IIS 里面安全检测HTTP头信息泄漏  攻击者可通过获取服务器banner信息,针对某个版本存在的漏洞进行定向攻击。

    客户端的版本是windows server 2012的,请问如何隐藏或者修改banner信息

    谢谢!


    hawkwang


    2020年9月23日 9:07

全部回复

  • hawkwang2020 你好,

     

    你应该是想去除掉三个头信息:"server", "x-aspnet-version" 以及 "x-powered-by"

    如果是的话,你只需要在web.config文件里面添加/修改如下的设定即可。

    <system.web>

    <!-- 去除 x-aspnet-version 信息 --> <httpRuntime enableVersionHeader="false" /> </system.web> <system.webServer> <httpProtocol> <customHeaders> <!--去除 X-Powered-By 头部信息 --> <clear /> </customHeaders> </httpProtocol> <security> <!-- 去除 Server 头部信息--> <requestFiltering removeServerHeader ="true" /> </security> </system.webServer>

    希望回答能够帮助到你。

    Best regards,

    Sean

    2020年9月24日 8:59
  • 您好,

    感谢回复!

    能告诉下web.config具体在什么路径吗,我搜了下发现很多叫web.config的文件,不知道要修改那个。

    另外请问下如何查看效果。之前发现问题的是安全公司,我们不知道他们是通过什么方式查到的这些信息的。

    非常感谢!


    hawkwang

    2020年9月25日 8:26
  • 你好,

     

    项目下面应该只有一个web.config文件。

    你所说的有很多叫web.config文件,我理解可能是在项目下的子文件夹内。你只需要更改项目文件夹下的就可以了。

     

    查看效果的话,直接用浏览器就可以。访问你的网站,然后按F12,打开打开工具,然后点开网络,找到你请求的地址。检查头信息就可以看到有哪些头信息了。如果修改起作用了,相应的头信息会被去除。

     

    Best regards,

    Sean

    2020年9月29日 9:38
  • 您好,

    我先尝试去修改下 X-Powered-By ,然后打开网页版邮箱出现下面的报错,去除<!--去除 X-Powered-By 头部信息 -->报错消失恢复正常,

    但查看邮件头 X-Powered-By依然可以看到,似乎该设置无效。

    麻烦您帮忙再看看,谢谢!


    hawkwang

    2020年10月12日 2:58
  • 还有一个截图


    hawkwang

    2020年10月12日 3:01
  • 增加了您提供的几个参数后,网页版的邮箱打不开了,提示无法识别的元素。


    hawkwang

    2020年10月12日 3:55

  • hawkwang

    2020年10月12日 4:03
  • 从你提供的截图看,服务器使用的OS版本类似Win7,建议升级至Win10。
    2020年10月12日 5:19
  • 您好,

    服务器不是win7 是windows 2008 R2


    hawkwang

    2020年10月12日 12:42
  • Windows 2008迁移指南

    由于Windows Server 2008 和 2008 R2 的支持已于 2020 年 1 月 14 日结束,因此尽早迁移应用服务器至新的安全平台,或使用Win10提供的IIS 10版本。

    2020年10月13日 0:50
  • 您好,

    我的测试环境是win2008的,客户那边服务器是windows 2012 的环境,由于现在win2012已经在生产使用中,一时半会还无法升级到iis10。请问下在windows 2012 的IIS 8.5的版本下,按照您给出的几个修改web.config的设置可以生效吗?

    如果您之前给出的不适合win 2012 iis 8.5的版本有无适合该版本的方法呢?

    这个客户催了很多次了,麻烦您帮忙想想办法!!

    谢谢!


    hawkwang


    2020年10月13日 5:35
  • Windows Server 2012版本的技术支持期限未结束,不必担心针对该版本的定向攻击,只需及时安装官方提供的更新程序。

    2020年10月13日 8:09
  • 您好,

    这个客户是个金融公司,安全要求极高。目前是在windows 2012 系统上安装的exchange 2013,系统已使用一段时间了。当时是访问网页版owa邮箱扫描发现的问题,隐藏我给您提出的这些http头部信息是公司的安全策略,不可违反,必须要解决。

    您这边暂时不要考该产品还在支持范围的事,如果打补丁可以隐藏上述信息,请提供下具体需要打哪个补丁。如果打补丁不能隐藏上述信息的话,能否就我们的环境如何解决上述问题给出针对性的步骤和建议呢(升级服务器版本目前是行不通的)

    谢谢!


    hawkwang




    2020年10月14日 1:41
  • 关于你提出的这些http头部信息需要隐藏的问题,我认为需要分析这些头部信息的设计意图和使用范围。

    只有搞清楚这个问题才能决定是否需要隐藏的问题。我想这些http头部信息肯定不是为定向攻击者而故意留下的,相反很可能是为其他应用程序调用时提供的参数,如果这样的话隐藏这些头部信息势必影响到其他应用程序的运行。

    在鱼与熊掌不能兼得的条件下,这家金融公司的取舍方向确定後,你才能做出相应的处置方案。

    2020年10月14日 4:54
  • 您好,

    因为专业的网络安全公司给该金融单位进行安全扫描,认定这是一个漏洞有被攻击的风险,所以金融单位要求进行隐藏。这就是我们操作的原因。

    这样您看可以吗,请您先给出具体的隐藏步骤。我们会在测试环境下先测试,如有问题随时恢复。(之前您给的隐藏步骤经测试有问题,导致owa网页版邮箱打不开,隐藏头部信息也没成功)

    另外我记得微软有个iis banner的工具,这个能否修改http的头呢

    非常感谢!


    hawkwang

    2020年10月14日 14:39
  • 去除 x-aspnet-version 信息,编辑web.config文件
    <system.web>
        <httpRuntime enableVersionHeader="false" />
    </system.web>

    去除 x-powered-by 信息,打开IIS管理器的http响应标头,参照下图:

    去除 server 信息,可能需要安装URL Rewriter扩展程序,参照下图:

    2020年10月15日 0:58
  • 您好,

    1:去除x-aspnet-version 信息,我看到默认打开就是这个,该参数本来就是false,F12后依然可以看到x-aspnet-version信息,该设置是无法隐藏x-aspnet-version 信息。


    2:去除 x-powered-by 信息这个方法,是有效的。

    3:URL Rewriter这个下载链接能否发下,我找到似乎都是针对IIS7.0的下载链接,另外安装后如何隐藏的步骤能否也告诉下。

    谢谢! 

    hawkwang


    2020年10月15日 6:48