中间件版本信息泄露：Microsoft-HTTPAPI/2.0

最新推荐文章于 2024-06-03 14:12:05 发布

清风楼雨

最新推荐文章于 2024-06-03 14:12:05 发布

阅读量3k

点赞数

分类专栏：问题解决安全配置文章标签： microsoft 安全

本文链接：https://blog.csdn.net/ilqgffvramusm2864/article/details/128126965

版权

问题解决同时被 2 个专栏收录

7 篇文章 0 订阅

订阅专栏

安全配置

6 篇文章 0 订阅

订阅专栏

中间件版本信息泄露：Microsoft-HTTPAPI 修复

漏洞现象

server版本信息泄露
在这里插入图片描述

风险描述

修改请求url会导致所使用服务或中间件版本泄露，从而为攻击者提供进一步攻击的机会

修复建议

如果DisableServerHeader不存在，则创建它(DWORD 32位)并将其值设置为2。如果存在，并且该值不为2，则将其设置为2。

reg add "HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters" -v "DisableServerHeader" /t REG_DWORD /d 2

最后，先调用net stop http然后net start http重新启动服务

net stop http /y
net start http
iisreset /RESTART

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

清风楼雨

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
中间件版本信息泄露：Microsoft-HTTPAPI/2.0

中间件版本泄露、隐藏版本号、Microsoft-HTTPAPI 版本泄露、IIS版本泄露
复制链接

扫一扫

专栏目录

Web中间件常见漏洞

weixin_67813445的博客

04-19

1271

apache默认一个文件可以有多个以点切割的后缀，当最右的后缀无法识别时，就继续向左识别，直到识别到合法后缀才开始解析，如xxx.php.qqq，qqq无法识别，就继续解析，到php时能够识别，就解析为php文件。由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,对于任意文件名，在后面添加/xxx.php（xxx）为任意字符后，即可将文件作为php解析。访问构造某个存在的短文件，会返回404，访问构造某个不存在的短文件，会返回400。

常见的中间件漏洞

weixin_52501704的博客

12-09

5334

常见的中间件漏洞

参与评论您还未登录，请先登录后发表或查看评论

Tomcat中间件版本信息泄露

最新发布

虫虫的博客

06-03

597

Tomcat中间件版本信息泄露

Hack The Box 系列域渗透之靶机Cascade

FreeBuf_的博客

12-09

779

本小白最近在学域渗透，决定把Hack The Box的Active Directory 101 系列域渗透靶机打完，并详细记录当中用到的工具、知识点及其背后的原理。本篇文章是该系列的第八篇，靶机名字为Cascade。

80端口被Microsoft-HTTPAPI/2.0占用的解决办法

weixin_34122548的博客

03-03

479

为什么80%的码农都做不了架构师？>>> ...

How to Remove Microsoft-HTTPAPI/2.0 Header on IIS 8 and 10

ChenDianDeLiuXing的博客

01-05

738

How to Remove Microsoft-HTTPAPI/2.0 Header on IIS 8 and 10 原文链接：https://serverfault.com/questions/941585/how-to-remove-microsoft-httpapi-2-0-header-on-iis-8-and-10 1 I’m trying to remove Microsoft-HTTPAPI/2.0 server header from my HTTP responses following

fiber-swagger:光纤中间件可通过Swagger 2.0自动生成RESTful API文档

05-15

光纤中间件，以使用Swagger 2.0自动生成RESTful API文档。用法开始使用它将注释添加到您的API源代码中，。使用以下方法下载 for Go： $ go get -u github.com/swaggo/swag/cmd/swag 在包含main.go文件的Go项目...

gin-swagger:使用 Swagger 2.0 自动生成 RESTful API 文档的 gin 中间件

07-24

gin 中间件使用 Swagger 2.0 自动生成 RESTful API 文档。用法开始使用它向您的 API 源代码添加注释，。使用以下命令下载 for Go： $ go get -u github.com/swaggo/swag/cmd/swag 在包含main.go文件的 Go 项目...

Zhihu-API-Koa::raised_hand: koa2.0 仿知乎 API 项目

05-20

Zhihu-API-Koa 仿知乎 API 项目 :television: 视频地址： API 介绍主要模块 :person_with_skullcap: 用户模块 + :ticket: 话题模块 + :red_question_mark: 问题模块 + :megaphone: 回答模块 + :pencil: 评论模块 ...

pop-api：popcorn-api的基本模块

02-03

流行音乐产品特点pop-api项目旨在为项目提供核心模块，但也可以通过使用中间件将其用于其他目的。 Cli中间件，用于使用读取用户输入。通过连接到MongoDB的数据库中间件。使用记录路线和其他信息。在下面使用： ...

http-version:HTTP API版本匹配策略作为connectexpressrocky的中间件

05-15

受到中间件的启发安装npm install http-version --save版本控制策略版本控制策略由匹配顺序优先级定义有关不同HTTP API版本策略的信息，请参阅标头支持的标头（不区分大小写）： Version ， X-Version ， API-...

【Hack The Box】windows练习-- acute

人间体佐菲的博客

11-18

400

【Hack The Box】windows练习-- acute

服务器中间件版本信息泄露,中间件版本信息泄露漏洞

weixin_42427302的博客

08-05

5234

中间件版本信息泄露漏洞《Web安全测试学习手册》- 中间件版本信息泄露漏洞0x00 中间件版本信息泄露漏洞1)什么是中间件版本信息泄露漏洞通常在HTTP报文的响应头中存在的标志、版本号等信息均属于中间件的版本信息泄露漏洞。2)中间件版本信息泄露漏洞的特点通常出现在默认安装好的Web中间件上，大部分管理员都不会修改这个标志。0x01 中间件版本信息泄露漏洞 - 风险等级低0x02 中间件版本信息泄露...

端口80被Microsoft-HTTPAPI/2.0占用的解决办法

jimjayce的专栏

09-23

855

在使用Wamp时发现端口80被占用，

安全渗透测试解决方法以及使用nginx进行解决

qq_45621643的博客

12-07

2186

线上安全环境维护

Web安全：中间件漏洞

elevn的博客

08-15

427

以前出现过的中间件漏洞一般是文件解析漏洞，例如IIS文件解析漏洞、Apache文件解析漏洞及Nginx文件解析漏洞等。中间件直接依附于操作系统的存在而存在，它们是仅次于操作系统的系统软件，它们出现了漏洞，即为中间件漏洞。例如IIS的Unicode编码漏洞及Apache文件解析漏洞等都是中间件漏洞，这类漏洞的修复须配合中间件开发人员进行修复。内核漏洞及中间件漏洞的上层就是Web应用漏洞，这三个层面中的任何一个层面的安全没有得到保证，那么整体的安全也就无法保证，攻击者进入系统将可能如入无人之境。

Apache中间件漏洞

fansenliangren的博客

12-26

289

Apache中间件漏洞的原理，漏洞危害，检测条件，检测方法和修复建议的简要介绍。

/usr/java/jdk1.8.0_161/bin/java -server -Xms2g -Xmx2g -XX:+UseG1GC -XX:G1HeapRegionSize=16m -XX:G1ReservePercent=25 -XX:InitiatingHeapOccupancyPercent=30 -XX:SoftRefLRUPolicyMSPerMB=0 -verbose:gc -Xloggc:/dev/shm/rmq_srv_gc_%p_%t.log -XX:+PrintGCDetails -XX:+PrintGCDateStamps -XX:+PrintGCApplicationStoppedTime -XX:+PrintAdaptiveSizePolicy -XX:+UseGCLogFileRotation -XX:NumberOfGCLogFiles=5 -XX:GCLogFileSize=30m -XX:-OmitStackTraceInFastThrow -XX:+AlwaysPreTouch -XX:MaxDirectMemorySize=15g -XX:-UseLargePages -XX:-UseBiasedLocking -Drocketmq.client.logUseSlf4j=true -cp .:/usr/local/rocketmq/bin/../conf:/usr/local/rocketmq/bin/../lib/*: -Drmq.logback.configurationFile=/usr/local/rocketmq/conf/rmq.broker.logback.xml org.apache.rocketmq.broker.BrokerStartup -c ../conf/broker.conf

06-08

这是一个使用Java语言编写的应用程序的命令行运行指令。该程序是一个消息队列中间件的Broker，使用了RocketMQ框架实现。其中的参数含义如下： -server：使用JVM的server模式。在多核CPU上提高性能。 -Xms2g：JVM启动时堆内存的最小值为2G。 -Xmx2g：JVM堆内存的最大值为2G。 -XX:+UseG1GC：使用G1垃圾回收器。 -XX:G1HeapRegionSize=16m：G1垃圾回收器内存区域的大小为16M。 -XX:G1ReservePercent=25：预留25%的空间以避免太满引发的性能问题。 -XX:InitiatingHeapOccupancyPercent=30：G1在堆内存使用达到30%时会触发垃圾回收。 -XX:SoftRefLRUPolicyMSPerMB=0：清除软引用的时间间隔为0，即软引用的对象一旦没有被使用就会被立即清除。 -verbose:gc：打印GC日志。 -Xloggc:/dev/shm/rmq_srv_gc_%p_%t.log：将GC日志输出到/dev/shm/rmq_srv_gc_%p_%t.log文件中。 -XX:+PrintGCDetails：打印GC详细信息。 -XX:+PrintGCDateStamps：打印GC时间戳。 -XX:+PrintGCApplicationStoppedTime：打印应用程序停止时间。 -XX:+PrintAdaptiveSizePolicy：打印自适应策略的信息。 -XX:+UseGCLogFileRotation：启用GC日志文件轮换。 -XX:NumberOfGCLogFiles=5：GC日志文件轮换时保留的文件数目。 -XX:GCLogFileSize=30m：GC日志文件的大小为30M。 -XX:-OmitStackTraceInFastThrow：关闭快速抛出异常时的栈信息。 -XX:+AlwaysPreTouch：在JVM启动时预先分配堆内存。 -XX:MaxDirectMemorySize=15g：最大直接内存大小为15G。 -XX:-UseLargePages：不使用大页面。 -XX:-UseBiasedLocking：不使用偏向锁。 -Drocketmq.client.logUseSlf4j=true：使用SLF4J作为日志框架。 -c ../conf/broker.conf：指定Broker的配置文件路径。