Web服务器HTTP头信息公开 漏洞

最新推荐文章于 2024-05-06 21:36:51 发布
最新推荐文章于 2024-05-06 21:36:51 发布
阅读量1.3w 收藏 10
点赞数
文章标签: 云服务器
原文链接:https://blog.51cto.com/chenchunjia/1958167 https://www.dazhuanlan.com/2019/12/12/5df18ab4a7be5/
版权

远程Web服务器通过HTTP标头公开信息

远程Web服务器发送的HTTP标头公开了可以帮助攻击者的信息,例如Web服务器使用的服务器版本和语言。

解决办法

修改Web服务器的HTTP头以不公开关于底层Web服务器的详细信息。

 

服务器  Windows2008 r2

 

方法转载自:https://blog.51cto.com/chenchunjia/1958167

一、漏洞名称

漏洞名称

漏洞摘要

修复建议

Web服务器HTTP头信息泄露

远程Web服务器通过HTTP头公开信息。

修改Web服务器的HTTP头以不公开有关底层Web服务器的详细信息。

说明:在iis7上部署网站时,http响应标头X-Powered-By是开启的,并且不是必要的,当响应标头存储时,会暴露了网站的编程语言,此响应标头不是必要的,可以修改或者删除。

 

二、安装IIS 6 管理兼容性

右击【角色】【Web服务器(IIS)】,点击【添加角色服务】,勾选“IIS 6 管理兼容性”,点击下一步安装。

 

 

三、安装urlscan_v31_x64     (urlscan_v31_x64下载方法在文章最下面)

1、安装urlscan3.1     

2、安装UrlScan3.1,利用UrlScan 3.1的特性,修改配置文件C:\Windows\System32\inetsrv\UrlScan\UrlScan.ini文件如下
RemoveServerHeader=1     ; If 1, removethe 'Server' header from

    ; response.  Thedefault is 0.

或者
RemoveServerHeader=0          ; 改成1以后不显示Server
AlternateServerName=          ;如果RemoveServerHeader=0可以自己定义

即将原来的RemoveServerHeader=0改为1,并重启系统即可。

 

四、使用IE浏览器查看响应标头

使用IE登录,点击“F12开发人员工具”,可查看响应标头

设置完成后,响应标头已无“X-Powered-By”

 

wKiom1mcJOjjqH3DAAJcjw-EB-w808.png

wKiom1mcJPSACT9SAAQmPsGSjz4017.png

 

 

未配置之前,可以查看到“X-Powered-By:ASP.Net”

wKioL1mcJfmylkf7AAQYVKiTno8983.png

 

 

五、使用Google chrome查看响应标头

 

在chrome页面,右击,点击“检查”选项。

wKioL1mcJp2jSxIKAAApeUttZ24829.jpg

 

 

再此做一些补充,包括UrlScan3.1_X86_X64下载 ,以及和原创大神的不同结果。   

修改RemoveServerHeader=1后,IE浏览器F12查看响应标头,只会隐藏Server:Microsoft-IIS/7.5,

并不会隐藏 X-Powered-By: ASP.NET 和  X-AspNet-Version: 2.0.50727

关于X-Powered-By: ASP.NET,我是直接在IIS上删除的

UrlScan3.1_X86_X64下载方法,转自:https://www.dazhuanlan.com/2019/12/12/5df18ab4a7be5/

在官网上找不到UrlScan的安装文件,只能在别处找了。https://download.cnet.com/UrlScan-for-IIS-64-bit/3000-10248_4-75451809.html

 

少年1230
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTTP协议访问WEB服务器
02-16
1、SOCKET通信 2、使用80端口 4、遵循HTTP协议 5、观察HTTP发送以及响应
Web_Http信息
07-10
HTTP信息描述 HTTP head内所有信息描述
最全的HTTP信息分析
DKarthas的专栏
05-11 5228
最全的HTTP信息分析 HTTP 部解释1. Accept:告诉WEB服务器自己接受什么介质类型,*/* 表示任何类型,type/* 表示该类型下的所有子类型,type/sub-type。 2. Accept-Charset:   浏览器申明自己接收的字符集   Accept-Encoding:  浏览器申明自己接收的编码方法,通常指定压缩方法,是否支持压缩,支持什么压缩方法  (g
asp.net core web框架可能存在哪些漏洞
最新发布
极客神殿
05-06 105
ASP.NET Core 是一个开源的跨平台的 web 应用程序开发框架,它建立在 ASP.NET 框架的基础上,具有更高的性能和可扩展性。为了减少漏洞的风险,开发人员应该实施安全开发最佳实践,如输入验证、输出编码、身份验证和授权、安全的会话管理、日志记录和监控等。此外,及时更新和修补 ASP.NET Core 框架和相关组件也是非常重要的。
我的HTTP服务器
hunkcai的专栏
08-11 4073
技术平台:.net 作品介绍: 基于Sokect技术构建 目前只支持静态文件,功能正在逐步完善… 轻量级的HTTP服务器,功能控制、扩展方便,能够很容易就把代码集成到其他winform应用。  效果图 用IE访问 欢迎交流 MSN:hunk.cai@hotmail.com QQ:157859303 有兴趣想开发自己的HTTP服务器的,请参考本人另一文章,有相关源码: HTTP服务器开发教程
漏洞修复】Web服务器HTTP设置漏洞
11-01 6900
文章目录Web服务器HTTP设置漏洞Web服务器HTTP信息公开默认的nginx HTTP服务器设置Web服务器错误页面信息泄露修复方案服务验证 Web服务器HTTP设置漏洞 Web服务器HTTP信息公开 远程Web服务器发送的HTTP公开了可以帮助攻击者的信息,例如Web服务器使用的服务器版本和语言。 默认的nginx HTTP服务器设置 远程网络服务器包含默认设置,例如启用的服务器令牌和/或默认文件,例如默认索引或错误页面。这些项目可能会泄漏有关服务器安装的有用信息Web服务器错误页面信
解读web服务器http
weixin_33805743的博客
06-02 153
我们有的朋友发现IIS服务器的网站属性中有一个特殊的页面“http”(如下),并且对此非常不解。 好吧,我来解释一下:这个其实就是说服务器端发送给浏览器的一些特殊消息。(有时候是一些附加消息),浏览器可能可以根据这些消息进行相应的处理。 首先,我们来看看如果仅仅是一些附加消息,例如我上面添加到一个Author的消息,值为chenxizhang. 因为author这个信息,浏览器并不认识,所...
Nginx Web安全漏洞解决:Web服务器HTTP信息公开以及Web服务器错误页面信息泄露
热门推荐
weixin_43905458的博客
04-24 1万+
1、安全问题说明 使用Nginx提供服务的产品,经过安全扫描工具扫描后报出两个安全漏洞 1.1、安全漏洞:Web服务器HTTP信息公开 风险级别:中风险 漏洞个数:4 漏洞详情: 端口 协议 服务 443 TCP WWW 80 TCP WWW 8000 TCP WWW 8080 TCP WWW 1.2、安全漏洞:Web服务器错误页面信息泄露 风险级别:中风险 漏洞...
禁用Web服务器HTTP信息公开 asp.net mvc移除Server, X-Powered-By, 和 X-AspNet-Version、X-AspNetNMvc-Version信息
慢谈人生
11-26 1688
asp.net mvc程序部署到IIS,,返回的HTTP中包含Server, X-Powered-By, 和 X-AspNet-Version、X-AspNet-Version信息. 这些信息有时给攻击者找寻你的站点漏洞提供的依据. 如下图所示: 1.移除X-AspNet-Version 在webconfig中做如下配置: 2.移除X-AspNetMvc-Version 在Global.asax中做如下配置 3.移除Server 3.1自定义server处理模型: //移..
服务器信息泄漏漏洞,Windows2008 r2“Web服务器HTTP信息泄露”漏洞修复(示例代码)...
weixin_29904489的博客
08-01 941
一、漏洞名称漏洞名称漏洞摘要修复建议Web服务器HTTP信息泄露远程Web服务器通过HTTP公开信息。修改Web服务器HTTP以不公开有关底层Web服务器的详细信息。二、安装IIS 6 管理兼容性右击【角色】【Web服务器(IIS)】,点击【添加角色服务】,勾选“IIS 6 管理兼容性”,点击下一步安装。三、安装urlscan_v31_x641、安装urlscan3.12、安装UrlSca...
nginx 隐藏版本号与WEB服务器信息的解决方法
09-30
在网络安全日益重要的今天,隐藏服务器信息,特别是像Nginx这样的Web服务器的版本号,是一项基本的安全措施。这是因为,公开的版本信息可能会暴露服务器的弱点,让潜在的攻击者了解其可能存在的漏洞,从而有针对性地...
Web服务器识别技术揭秘
09-30
当客户端(如浏览器)向Web服务器发送请求时,服务器会返回HTTP响应报,其中包含了服务器类型和版本等信息。例如,`Server`字段会显示服务器软件的名称和版本。例如,`Apache/2.4.41 (Ubuntu)`表明服务器是Apache...
Web服务器常见漏洞
05-26
Web的大多数安全问题都属于下面三种类型之一 : 1. 服务器向公众提供了不应该提供的服务。... 服务器把本应私有的数据放到了公开访问的区域。 3.服务器信赖了来自不可信赖数据源的数据 …………
Server-Auto-Pwn:自动Web服务器漏洞扫描程序和漏洞利用程序
05-09
服务器自动拥有SAP为漏洞利用程序提供了一个平台,可以轻松创建该漏洞利用程序,并将其与从shellcode到jsp的各种不同有效负载一起使用,几乎可以与任何漏洞利用程序一起使用。 此外,通过多阶段的shell处理程序,它...
搭建Web服务器搭建Web服务器.doc
07-08
IIS 6.0提供了一个集成、稳定、可扩展、安全且易管理的平台,用于内联网、外联网和互联网的Web服务器解决方案。 Web服务基于客户端/服务器模型运行,服务器端程序(如Netscape iPlanet Web Server、Microsoft IIS)...
服务器信息泄露,Windows2008 r2“Web服务器HTTP信息泄露”漏洞修复
weixin_30382147的博客
07-30 1687
一、漏洞名称漏洞名称漏洞摘要修复建议Web服务器HTTP信息泄露远程Web服务器通过HTTP公开信息。修改Web服务器HTTP以不公开有关底层Web服务器的详细信息。二、安装IIS 6 管理兼容性右击【角色】【Web服务器(IIS)】,点击【添加角色服务】,勾选“IIS 6 管理兼容性”,点击下一步安装。三、安装urlscan_v31_x641、安装urlscan3.12、安装UrlSca...
漏洞:Nginx服务器HTTP信息公开
qq_57252848的博客
10-12 297
【代码】漏洞:Nginx服务器HTTP信息公开
nginx 隐藏版本号与WEB服务器信息
weixin_30613727的博客
11-15 1275
nginx不仅可以隐藏版本信息,还支持自定义web服务器信息 先看看最终的隐藏结果吧 具体怎么实现呢,其实也很简单,请往下看 1 官网下载最新稳定版 wget http://nginx.org/download/nginx-1.14.1.tar.gz 2 解压 tar -xf nginx-1.14.1.tar.gz cd nginx-1.14.1 3 修...
Windows2008 r2“Web服务器HTTP信息泄露”漏洞修复
weixin_34384681的博客
08-21 1592
一、漏洞名称漏洞名称漏洞摘要修复建议Web服务器HTTP信息泄露远程Web服务器通过HTTP公开信息。修改Web服务器HTTP以不公开有关底层Web服务器的详细信息。说明:在iis7上部署网站时,http响应标X-Powered-By是开启的,并且不是必要的,当响应标存储时,会暴露了网站的编程语言,此响应标不是必要的,可以修改或者删除。二、安装IIS 6 管理兼...
使用什么工具可以对web平台的漏洞进行扫描
08-13
### 回答1: 对 web 平台进行漏洞扫描可以使用许多工具。常用的工具包括: 1. Nessus: Nessus 是一款功能强大的安全扫描器,可用于发现 web 平台的漏洞。 2. Acunetix: Acunetix 是一款专为 web 平台设计的漏洞扫描工具,可帮助你发现 SQL 注入,跨站脚本 (XSS) 攻击等常见漏洞。 3. Burp Suite: Burp Suite 是一款流行的 web 安全测试工具,可用于模拟攻击并检测 web 平台的漏洞。 4. W3AF: W3AF 是一款开源的 web 漏洞扫描工具,可帮助你发现常见的 web 安全问题,包括 SQL 注入,跨站脚本攻击等。 除了上述工具之外,还有许多其他的 web 漏洞扫描工具可供选择,如 AppScan、WebInspect 等。选择哪种工具取决于你的需求和喜好。 ### 回答2: 对于Web平台的漏洞扫描,可以使用多种工具,以下是其中一些常用的工具: 1. Acunetix:Acunetix是一种自动Web应用程序漏洞扫描工具,可识别和修复常见的安全漏洞,如SQL注入、跨站点脚本(XSS)、跨站点请求伪造(CSRF)等。 2. Nessus:Nessus是一款功能强大的网络扫描器,具备强大的漏洞检测能力,可以进行Web应用的漏洞探测和分析。 3. Burp Suite:Burp Suite是一套用于Web应用安全测试的集成工具,包括代理服务器漏洞扫描器、Web应用程序蜘蛛,可用于发现应用程序的安全漏洞。 4. OpenVAS:OpenVAS是一款开源的网络漏洞扫描器,可以检测Web平台中的各种漏洞,并提供详细的报告和建议。 5. Nikto:Nikto是一款开源的Web服务器漏洞扫描工具,主要用于扫描Web服务器上已知的安全漏洞。 这些工具在对Web平台进行漏洞扫描时各有特点和优劣,根据具体需求和情况选择合适的工具,结合手动渗透测试和安全审计,可以更全面地发现和修复Web平台上的漏洞,提高Web应用程序的安全性。 ### 回答3: 对Web平台的漏洞进行扫描可以使用一系列的工具。以下是其中一些常用的工具: 1. 基于漏洞库的扫描器:这类工具包括常见的Web应用程序漏洞库,可以自动扫描目标Web应用程序的漏洞。这些工具通过模拟攻击并分析Web应用程序的响应,来检测潜在的漏洞。例如,OWASP ZAP、Netsparker、Acunetix等。 2. 基于脚本的扫描器:这些工具使用自定义编写的脚本进行漏洞扫描。脚本可以针对特定的漏洞类型进行测试。例如,Nmap和Nessus等。 3. 手动漏洞检测工具:这些工具需要基于人工的方法来进行漏洞检测。例如,Burp Suite是一种用于手动测试Web应用程序漏洞的流行工具,它提供了截取和修改HTTP流量的能力。 4. 漏洞扫描服务:除了独立工具之外,也存在一些提供托管式漏洞扫描服务的供应商。这些服务通常提供更强大和全面的漏洞扫描功能,并且根据最新的漏洞库进行更新。一些常见的漏洞扫描服务提供商包括Tenable、Qualys和Rapid7等。 需要注意的是,漏洞扫描工具只能检测已知的漏洞,无法保证对未知的漏洞进行全面的扫描。因此,在进行漏洞扫描之后,仍然需要进行手动的审计和安全测试,以确保Web应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值