Response Header里的Server,X-Powered-By,X-AspNet-Version字段等敏感信息删除

最新推荐文章于 2024-05-29 09:55:41 发布
最新推荐文章于 2024-05-29 09:55:41 发布
阅读量5.9k 收藏 8
点赞数 2
分类专栏: IIS安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/amx_006/article/details/110271005
版权

Response Header里的Server,X-Powered-By,X-AspNet-Version字段等敏感信息删除

 

简介

通过抓包工具burpsuite或者fiddler抓取分析response header包含的字段信息,我们能得到关于Web服务器、应用框架、编程语言等信息。

很多公司安全部门的都会对应用系统进行安全漏洞扫描,其中一项就是过滤敏感信息。response header中的敏感信息及修复方式如下。

下图是某网站的http 响应头。

 

1.1  HEADER中包含的敏感字段

在上图中圈出的部分,我们关注以下几个字段(针对asp.net应用常见的,并非全部):

Serverweb服务器的版本。通常我们会看到 “Microsoft-IIS/7.5”, “nginx/1.0.11” 和 “Apache”这样的字段。

X-Powered-Byweb应用框架信息。常见例子,“ASP.NET”, “PHP/5.2.17” 和“UrlRewriter.NET 2.0.0”。

X-AspNet-Version: asp.net版本,只要集成IIS的站点都有这样的header

X-AspNetMvc-Version:asp.net mvc 版本使用asp.net mvc框架会有此字段。

通常情况下这些信息并不会直接带来危险,但是如果某一天IIS的某个版本爆了一个0day漏洞,那么攻击者会根据响应头在很短的时间内找到大批的IIS站点进行攻击。另外攻击者会根据搜集到的信息结合已有漏洞进行推论和尝试,正确的信息会加快攻击者找到漏洞的步伐。

所以很多公司安全部门都会要求必须过滤掉这些敏感信息。

1.2 删除敏感的HEADER

以我实际工作中遇到的客户要求为例,看下如何删除响应头中的敏感字段。

1.2.1 删除SERVER字段(针对所有集成IIS发布站点的应用

这里需要用到IIS扩展工具Url Scan,下载地址 URLScan3.1 64位

双击安装

如果弹出如下的窗口说明电脑没有安装IIS,必须安装IIS后才能安装urlscan

urlscan使用详解

如果安装了IIS还是报上面的错误那就是少安装一个组件如下图所示:(进入服务器操作系统勾选如图所示红色框内选项后点击下一步安装即可【不需要重启IIS】)

IIS安装如果没有问题,点击UrlScan安装包后则会显示正常的安装界面

一直下一步直到finish即可。

安装好以后不用重启电脑或者IIS服务

直接打开URL Scan的配置文件( C:\Windows\System32\inetsrv\urlscan\UrlScan.ini),找到“RemoveServerHeader”,将值设置为1。不用重启IIS服务,直接刷新抓包就会发现Server已经消失。

配置之前:

配置之后: 

另外安装了UrlScan的后系统中的所有请求地址包含中文的都默认无法使用。

需要在URL Scan的配置文件( C:\Windows\System32\inetsrv\urlscan\UrlScan.ini)中配置  AllowHighBitCharacters=1 来开启URL中文支持即可。

1.2.2 删除X-POWERED-BY字段(针对所有集成IIS发布站点的应用

打开IIS管理器,切换到站点视图,打开“HTTP响应标头”。

在这里删除X-Powered-By字段。

删除后不用重启IIS,直接刷新站点抓包即可发现 X-POWERED-BY 已经消失。

如果如上操作删除X-Powered-By对其他站点有影响的话,也可以通过如下配置文件的方式去除该响应头。

在IIS根目录下的web.config文件中如下图红色框位置添加移除该消息头的配置项即可。

1.2.3 删除 X-ASPNET-VERSION字段(针对所有集成IIS发布站点的应用

打开站点下的web.config,做如下配置:(在httpRuntime页签中添加enableVersionHeader="false"属性,与该页签其他属性无关

如果没有 <system.web>配置项,添加即可。

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
      <system.web>

            <globalization requestEncoding="utf-8" responseEncoding="utf-8" />
            <httpRuntime enableVersionHeader="false" requestValidationMode="2.0" requestPathInvalidCharacters="" /> 
            ...... 
      </system.web>
      <system.webServer>

            ......
      </system.webServer>

      ......
</configuration>

删除后不用重启IIS,直接刷新站点抓包即可发现 X-ASPNET-VERSION 已经消失

--------     web.config文件 中的如下配置是将IIS站点中的文件编码格式统一配置为utf-8 避免程序文件或者上传的文件出现中文乱码问题   -----------------

<globalization requestEncoding="utf-8" responseEncoding="utf-8" responseHeaderEncoding="utf-8" />

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

1.2.4 删除X-ASPNETMVC-VERSION(只针对asp.net

打开Global.asax文件,在Application_Start函数中添加如下代码:

MvcHandler.DisableMvcResponseHeader = true;

最后的结果:

一块大石头
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
poc-aspnetcore-microservices:使用grpc,aspnet core 3x和mongoDb的示例微服务项目
02-21
微服务模板使用grpc和aspnet core 3x的示例微服务项目清单要完成。 基本结构 :check_mark: 业务逻辑 :cross_mark: 单元测试 :cross_mark: 功能测试 :cross_mark: BuildingBlocks:MongoDb :cross_mark: Building...
Asp.net移除Server, X-Powered-By, 和X-AspNet-Version
code12313的博客
01-29 832
移除X-Powered-By需要在IIS中HTTP响应头删除 X-Powered-By选项即可。
移除http响应中的多余的头(X-AspNet-Version,Server等)
牛腩的专栏
11-17 5139
网上搜索出很多方法了,这记录一下: 如果是asp.net mvc的话还得在global.ascx中加入: 至于移除Server头,按网上的写法写httpmoudle后发现无效的,最后还是用了微软官方的UrlScan工具,搜索下载安装后在 C:WindowsSystem32inetsrvurlscan 有个UrlScan.ini文件,需要用管理员的权限打开,我的方法是进入管
nginx去除server响应头的方法
最新发布
oYiNianChengMo的博客
05-29 708
nginx响应头、server响应头
【转】Asp.NetMve移除HTTP Header中服務器信息ServerX-AspNet-Version、X-AspNetMvc-Version、X-Powered-By:ASP.NET...
weixin_30894583的博客
01-24 354
默認情況下Chrome中截獲的HTTP Header信息: Cache-Control:private, s-maxage=0 Content-Encoding:gzip Content-Length:1184 Content-Type:text/html; charset=utf-8 Date:Sun, 08 Oct 2017 05:01:37 GMT Server:Micros...
如何移除网站Response Headers中的X-Powered-By信息?
weixin_30586085的博客
05-11 1142
X-Powered-By是网站响应头信息其中的一个,出于安全的考虑,一般会修改或删除掉这个信息。 如果你用的node.js express框架,那么X-Powered-By就会显示Express。如果用的thinkjs,那么X-Powered-By就会显示thinkjs.1... 最近,在折腾node.js程序的时候,我就想把这个信息删除。具体删除方法如下: 在Express中删除X-Pow...
移除X-AspNet-Version HTTP、X-AspNetMvc-Version HTTP、X-Powered-By HTTP、Server HTTP头
weixin_30580341的博客
07-06 1289
移除X-AspNet-Version HTTP头 在Web.Config的节点下添加如下内容: <httpRuntime enableVersionHeader="false" /> 移除X-AspNetMvc-Version HTTP头 X-AspNetMvc-Version HTTP头会自动被Asp.net MVC框架加入进去,如果你没有使用Asp.net ...
删除不需要的 HTTP 响应标头 Server:Microsoft-IIS/7.5 X-Powered-By:ASP.NET
小广龙
04-20 6583
移除iis敏感响应头信息 ServerX-Powered-ByX-AspNet-Version
禁用Web服务器HTTP头信息公开 asp.net mvc移除Server, X-Powered-By, 和 X-AspNet-Version、X-AspNetNMvc-Version信息
慢谈人生
11-26 1734
asp.net mvc程序部署到IIS,,返回的HTTP头中包含Server, X-Powered-By, 和 X-AspNet-VersionX-AspNet-Version信息. 这些信息有时给攻击者找寻你的站点漏洞提供的依据. 如下图所示: 1.移除X-AspNet-Version 在webconfig中做如下配置: 2.移除X-AspNetMvc-Version 在Global.asax中做如下配置 3.移除Server 3.1自定义server处理模型: //移..
Response Header中不暴露Server(IIS)版本、ASP.NET及相关版本等信息
carcarrot的博客
10-27 1327
ASP MVC开发的Web默认情况下会在请求的回应中暴露等相关服务端信息,公开这些敏感信息会存在一定的安全风险。标头用于被IIS / IIS Express中某些调试模块理解,它包含到磁盘上源文件的base64编码路径,并用于将页面生成的输出链接回该源文件,只在本机请求下生成,应用程序部署到实际服务器时,并不会出现,无需担心!
fullcalendar-aspnet-core:FullCalendar在ASP.NET Core中的实现
05-14
该项目包括JavaScript ES6 +中FullCalendar的实现,并连接了必要的数据库访问层(包括SQL语句)以与SQL Server进行交互。 配置 前端 当我使用编译我的Sass文件和现代的ES6 + JavaScript文件时,您将需要安装和npm,...
完整word版-ASPNET实训报告.doc
11-24
- **状态管理**:利用视图状态、隐藏字段、cookie或Session来保存用户信息。 - **错误处理和调试**:学习如何设置异常处理和使用调试工具。 - **部署与测试**:了解发布ASP.NET应用程序到IIS服务器的方法,以及...
完整word版-aspnet-随机出题在线考试系统.doc
11-13
在线考试系统是基于ASP.NET技术开发的Web应用程序,采用C#.NET作为编程语言,使用SQL Server作为后台数据库。该系统的设计和实现遵循软件工程方法论,包括系统分析、总体设计、详细设计和软件测试几个阶段。 在系统...
ASP.NET Zero Core 9.0.0 AbpZero最新源码 aspnet-zero-core-9.0.0
07-22
ASP.NET ZERO 带补丁亲测。 利用ABP框架搭建的模板项目,它会提供预建的页面及强大的基础设施架构。利用它提供的基础框架代码能让你快速的开发你...基于Abp开发的aspnet-zero-core-9.0.0最新版本,测试可用,可以改名。
隐藏服务器header与web软件版本信息
热门推荐
Enweitech Software Works
01-15 1万+
引入    每次当浏览器向Web服务器发起一个请求的时,都会伴随着一些HTTP头的发送.而这些HTTP头是用于给Web服务器提供一些额外信息以便于处理请求。比如说吧。如果浏览器支持压缩功能,则浏览器会发送Accept-Encoding HTTP头,这样一来服务器便知道浏览器可以使用哪种压缩算法。还有任何在上一次传输中服务端设置的cookies也会通过Cookies HTTP头来回传到服务器,浏览...
删除 Windows Server IIS 10 和 ASP.NET 中的 HTTP 响应标头
allway2的博客
08-19 2149
此外,某些应用程序,尤其是第三方应用程序,可能需要并依赖于 Server 标头。),但安全专家通常建议删除常见的服务器响应标头。攻击者可能会通过查看 Web 服务器返回的响应标头来获得有关您的服务器和网络的大量信息。在这篇文章中,我将向您展示如何在 IIS 中删除响应服务器标头。使用 web.config customHeaders 删除 IIS 中的 ASP.NET X-Powered-By 标头。重写响应头的有趣之处在于您可以显示自己的信息字符串。不幸的是,您不能真正删除 Server 标头。
在HTTP请求的header面,为什么有的时候有X-Powered-By这个值,有的时候没有呢?
Misslay's
09-05 8171
x-powered-by不是Apache或者Nginx输出的,而是由语言解析器或者应用程序框架输出的, 这个值的意义用于告知网站是用何种语言或框架编写的。 例如: php PHP标准输出是:X-Powered-By: PHP/5.2.1 ,可在php.ini中增加或修改 expose_php = Off关闭。 thinkphp 而使用了ThinkPHP,会输出:X-Powered-By: T
IIS10 移除Response header中的server信息
03-04 1582
网站的Configuration Editor system.webServer/security/requestFiltering removeServerHeader设置为true
- 500 Internal Server Error
09-14
当出现500 Internal Server Error错误时,这意味着服务器在处理请求时遇到了一个未知的内部错误。这个错误是一个比较常见的错误,可能会由多种原因引起。根据引用中提供的解决方案,以下是可能的解决方法: 1. 检查Nginx配置文件:首先,确保Nginx的配置文件正确设置并且没有任何语法错误。可以使用命令`nginx -t`来验证配置文件的正确性。如果发现错误,可以根据错误信息进行修正。 2. 检查日志文件:查看Nginx的错误日志文件,通常位于`/var/log/nginx/error.log`。日志文件中可能包含有关导致500错误的更具体的错误信息,可以根据这些信息来进行排除。 3. 检查服务器资源:500错误可能是由于服务器资源不足或者负载过高导致的。可以通过监控服务器的CPU、内存和磁盘使用情况来判断是否存在资源问题,并采取相应的措施来优化服务器配置。 4. 检查应用程序代码:如果你的网站或应用程序使用的是动态语言,比如PHP、Python等,那么500错误也可能是由于应用程序代码中的错误引起的。检查应用程序代码并修复可能存在的错误。 根据引用中提到的命令`C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis.exe -i`,这是一个用于在IIS上注册ASP.NET的命令。如果你的网站使用了ASP.NET,并且遇到500错误,可以尝试使用这个命令来重新注册ASP.NET。 根据引用中提到的错误模块“ManagedPipelineHandler”,这可能是由于IIS的配置问题导致的。可以尝试将对应的模块从处理程序列表中删除,并重新添加或更新相应的模块。 总之,解决500 Internal Server Error错误需要综合考虑多个因素,包括Nginx配置、日志文件、服务器资源以及应用程序代码等。通过逐步排查和调试,可以找到并解决引起该错误的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值