Web服务器HTTP头信息公开 漏洞

最新推荐文章于 2021-11-26 10:28:21 发布
最新推荐文章于 2021-11-26 10:28:21 发布
阅读量1.3w 收藏 10
点赞数
文章标签: 云服务器
原文链接:https://blog.51cto.com/chenchunjia/1958167 https://www.dazhuanlan.com/2019/12/12/5df18ab4a7be5/
版权

远程Web服务器通过HTTP标头公开信息

远程Web服务器发送的HTTP标头公开了可以帮助攻击者的信息,例如Web服务器使用的服务器版本和语言。

解决办法

修改Web服务器的HTTP头以不公开关于底层Web服务器的详细信息。

 

服务器  Windows2008 r2

 

方法转载自:https://blog.51cto.com/chenchunjia/1958167

一、漏洞名称

漏洞名称

漏洞摘要

修复建议

Web服务器HTTP头信息泄露

远程Web服务器通过HTTP头公开信息。

修改Web服务器的HTTP头以不公开有关底层Web服务器的详细信息。

说明:在iis7上部署网站时,http响应标头X-Powered-By是开启的,并且不是必要的,当响应标头存储时,会暴露了网站的编程语言,此响应标头不是必要的,可以修改或者删除。

 

二、安装IIS 6 管理兼容性

右击【角色】【Web服务器(IIS)】,点击【添加角色服务】,勾选“IIS 6 管理兼容性”,点击下一步安装。

 

 

三、安装urlscan_v31_x64     (urlscan_v31_x64下载方法在文章最下面)

1、安装urlscan3.1     

2、安装UrlScan3.1,利用UrlScan 3.1的特性,修改配置文件C:\Windows\System32\inetsrv\UrlScan\UrlScan.ini文件如下
RemoveServerHeader=1     ; If 1, removethe 'Server' header from

    ; response.  Thedefault is 0.

或者
RemoveServerHeader=0          ; 改成1以后不显示Server
AlternateServerName=          ;如果RemoveServerHeader=0可以自己定义

即将原来的RemoveServerHeader=0改为1,并重启系统即可。

 

四、使用IE浏览器查看响应标头

使用IE登录,点击“F12开发人员工具”,可查看响应标头

设置完成后,响应标头已无“X-Powered-By”

 

wKiom1mcJOjjqH3DAAJcjw-EB-w808.png

wKiom1mcJPSACT9SAAQmPsGSjz4017.png

 

 

未配置之前,可以查看到“X-Powered-By:ASP.Net”

wKioL1mcJfmylkf7AAQYVKiTno8983.png

 

 

五、使用Google chrome查看响应标头

 

在chrome页面,右击,点击“检查”选项。

wKioL1mcJp2jSxIKAAApeUttZ24829.jpg

 

 

再此做一些补充,包括UrlScan3.1_X86_X64下载 ,以及和原创大神的不同结果。   

修改RemoveServerHeader=1后,IE浏览器F12查看响应标头,只会隐藏Server:Microsoft-IIS/7.5,

并不会隐藏 X-Powered-By: ASP.NET 和  X-AspNet-Version: 2.0.50727

关于X-Powered-By: ASP.NET,我是直接在IIS上删除的

UrlScan3.1_X86_X64下载方法,转自:https://www.dazhuanlan.com/2019/12/12/5df18ab4a7be5/

在官网上找不到UrlScan的安装文件,只能在别处找了。https://download.cnet.com/UrlScan-for-IIS-64-bit/3000-10248_4-75451809.html

 

少年1230
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全-IIS8.0-10.0漏洞复现和修复
weixin_65409651的博客
07-11 1767
【代码】网络安全-IIS8.0-10.0漏洞复现和修复。
web中间件常见漏洞总结.pdf
12-14
5. **目录遍历**:此漏洞允许攻击者访问服务器上本应受保护的目录和文件,包括源代码、配置文件等,可能导致敏感信息泄露。 6. **不安全的身份验证和会话管理**:若Web中间件的身份验证机制有误,如弱密码策略、...
nginx 隐藏版本号与WEB服务器信息的解决方法
09-30
主要介绍了nginx 隐藏版本号与WEB服务器信息的解决方法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
HTTP协议访问WEB服务器
02-16
1、SOCKET通信 2、使用80端口 4、遵循HTTP协议 5、观察HTTP发送以及响应
解读web服务器http
weixin_33805743的博客
06-02 158
我们有的朋友发现IIS服务器的网站属性中有一个特殊的页面“http”(如下),并且对此非常不解。 好吧,我来解释一下:这个其实就是说服务器端发送给浏览器的一些特殊消息。(有时候是一些附加消息),浏览器可能可以根据这些消息进行相应的处理。 首先,我们来看看如果仅仅是一些附加消息,例如我上面添加到一个Author的消息,值为chenxizhang. 因为author这个信息,浏览器并不认识,所...
Nginx Web安全漏洞解决:Web服务器HTTP信息公开以及Web服务器错误页面信息泄露
热门推荐
weixin_43905458的博客
04-24 1万+
1、安全问题说明 使用Nginx提供服务的产品,经过安全扫描工具扫描后报出两个安全漏洞 1.1、安全漏洞:Web服务器HTTP信息公开 风险级别:中风险 漏洞个数:4 漏洞详情: 端口 协议 服务 443 TCP WWW 80 TCP WWW 8000 TCP WWW 8080 TCP WWW 1.2、安全漏洞:Web服务器错误页面信息泄露 风险级别:中风险 漏洞...
最全的HTTP信息分析
DKarthas的专栏
05-11 5276
最全的HTTP信息分析 HTTP 部解释1. Accept:告诉WEB服务器自己接受什么介质类型,*/* 表示任何类型,type/* 表示该类型下的所有子类型,type/sub-type。 2. Accept-Charset:   浏览器申明自己接收的字符集   Accept-Encoding:  浏览器申明自己接收的编码方法,通常指定压缩方法,是否支持压缩,支持什么压缩方法  (g
禁用Web服务器HTTP信息公开 asp.net mvc移除Server, X-Powered-By, 和 X-AspNet-Version、X-AspNetNMvc-Version信息
慢谈人生
11-26 1848
asp.net mvc程序部署到IIS,,返回的HTTP中包含Server, X-Powered-By, 和 X-AspNet-Version、X-AspNet-Version信息. 这些信息有时给攻击者找寻你的站点漏洞提供的依据. 如下图所示: 1.移除X-AspNet-Version 在webconfig中做如下配置: 2.移除X-AspNetMvc-Version 在Global.asax中做如下配置 3.移除Server 3.1自定义server处理模型: //移..
web中间件常见漏洞分析
08-17
IIS服务支持多种功能,包括Web服务器、FTP服务器等。尽管IIS服务功能强大,但其也存在一些漏洞,这些漏洞可能导致攻击者对Web应用程序发起攻击。 IIS解析漏洞指的是IIS在处理特定请求时的一种错误解析机制,它可以...
漏洞服务器资源
12-07
bWAPP(Black Widow Application for Penetration Testing)同样是另一个用于安全教育的Web应用,它涵盖了更多种类的安全漏洞,包括但不限于信息泄露、弱认证、缓冲区溢出、文件上传漏洞等。bWAPP的设计比DVWA更为...
Linux_web.rar_linux wEB_web服务器
最新发布
09-14
在IT行业中,Linux Web服务器是部署和运行网站、应用程序和服务的核心平台。Linux因其开源、稳定性和安全性而备受青睐。本文将深入探讨Linux环境下Web服务器的配置及其相关知识点。 首先,我们要理解Web服务器的...
Web_Http信息
07-10
HTTP信息描述 HTTP head内所有信息描述
http信息
u011648042的专栏
08-12 1213
HTTP域包括通用,请求,响应和实体四个部分。每个域由一个域名,冒号(:)和域值三部分组成。域名是大小写无关的,域值前可以添加任何数量的空格符,域可以被扩展为多行,在每行开始处,使用至少一个空格或制表符 通用域 通用域包含请求和响应消息都支持的域,通用域包含Cache-Control、 Connection、Date、Pragma、Transfer-En
HTTP信息泄露-隐藏web服务器banner信息
颜朵ccy的博客
01-23 1万+
Tomacat错误信息服务器版本号)泄露(低危险)  HTTP信息泄露-隐藏web服务器banner信息 一些黑客会通过该软件暴露出来的信息针对性的入侵,为了服务器的安全这些信息一定要及时关闭。Tomcat在404,405,403等错误的时候,会有默认的错误信息输出到页面上。这个时候,黑客们,根据服务器的版本信息,可以了解到该版本服务器的已知漏洞,发起攻击,造成javaWeb应用的信息安全...
服务器信息泄漏漏洞,Windows2008 r2“Web服务器HTTP信息泄露”漏洞修复(示例代码)...
weixin_29904489的博客
08-01 984
一、漏洞名称漏洞名称漏洞摘要修复建议Web服务器HTTP信息泄露远程Web服务器通过HTTP公开信息。修改Web服务器HTTP以不公开有关底层Web服务器的详细信息。二、安装IIS 6 管理兼容性右击【角色】【Web服务器(IIS)】,点击【添加角色服务】,勾选“IIS 6 管理兼容性”,点击下一步安装。三、安装urlscan_v31_x641、安装urlscan3.12、安装UrlSca...
深入理解HTTP协议
tianmo2010的专栏
09-24 1831
最近在调试 前后端分离的请求测试,遇到了一个406错误, 无法接受,于是开始了人肉搜索406 最后 还是HTTP信息里的 Accept:application/json  这个Accept 导致的, 后端设置了只允许application/json 这种形式,so前端模拟请求的时候,你也要和后端沟通好,然后发送请求参数,就可以了! 正好,也忘得差不多了,下面我们就来总结和回顾
服务器信息泄露,Windows2008 r2“Web服务器HTTP信息泄露”漏洞修复
weixin_30382147的博客
07-30 1715
一、漏洞名称漏洞名称漏洞摘要修复建议Web服务器HTTP信息泄露远程Web服务器通过HTTP公开信息。修改Web服务器HTTP以不公开有关底层Web服务器的详细信息。二、安装IIS 6 管理兼容性右击【角色】【Web服务器(IIS)】,点击【添加角色服务】,勾选“IIS 6 管理兼容性”,点击下一步安装。三、安装urlscan_v31_x641、安装urlscan3.12、安装UrlSca...
nginx 隐藏版本号与WEB服务器信息
weixin_30613727的博客
11-15 1297
nginx不仅可以隐藏版本信息,还支持自定义web服务器信息 先看看最终的隐藏结果吧 具体怎么实现呢,其实也很简单,请往下看 1 官网下载最新稳定版 wget http://nginx.org/download/nginx-1.14.1.tar.gz 2 解压 tar -xf nginx-1.14.1.tar.gz cd nginx-1.14.1 3 修...
计算机网络4-万维网和HTTP
xiaobumi123的博客
10-29 3012
1.www万维网 (1)什么是万维网? 万维网(World Wide Web, WWW)是一个资料空间,在这个空间中:一样有用的事物称为一样“资源”,并由一个全域“统一资源定位符”(URL)标识。这些资源通过超文本传输协议(HTTP)传送给使用者,通过单击链接来获取资源。 万维网使用链接的方法能让用户非常方便地从因特网上的一个站点访问另一个站点,从而主动地按需获取丰富的信息。 超文本标记语言(HyperText Markup Language,HTML)使得万维网页面的设计者可以很方便地用一个超链接
Windows平台Web服务器安全配置指南
"Windows平台Web服务器安全实战" 在Windows平台上部署和管理Web服务器时,确保服务器安全至关重要。以下是一些关键的安全实践: 1. **系统安装**: - 使用NTFS文件系统,因为它提供了更高级别的安全性,如权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值