我们最近有第三方审计人员对我们的MS 2008networking服务器进行了渗透testing,发现了远程操作系统检测漏洞。 它检测到操作系统以及IIS的版本。
审计员build议:“如果可能,请configurationWeb服务器,使其不会在横幅中显示可识别的信息”
我已经做了相当多的研究,找不到任何简单的方法可以让我快速阻止这些信息被检测到。
有谁知道有什么办法做到这一点? 这是否需要在代码中的服务器级别或Web应用程序级别configuration/拒绝?
您可以(除其他function外)使用UrlScan从HTTP响应中删除Server:标头。 有关选项,请参阅configuration参考 。
要删除X-Powered-By:头,请在IISpipe理器中select“ HTTP响应头”function,并删除ASP.NET条目