背景:
再一次凈網行動中,客戶要求安全改造發現了介面請求的header標頭中出現如圖中的敏感資訊,
說明:
其意義在于告知瀏網站是用什么語言或者框架撰寫的,解決辦法就是修改該回應頭為一個錯誤的值,將攻擊者導向一個錯誤的方向,
準備:
這里只說windows 的iis環境,不考慮其他服務器的環境,首先下載url重寫工具 URL Rewrite
這里就放個地址 https://www.iis.net/downloads/microsoft/url-rewrite#additionalDownloads
操作:
步驟 1.打開您要洗掉服務器標頭的站點,然后雙擊 URL重寫(URLRewrite ) 部分
步驟 2. 單擊 右側 操作窗格的 查看服務器變數(View Server Variables)
步驟 3. 單擊添加按鈕,然后在提供的文本框中輸入“ RESPONSE_SERVER” ,
步驟4.現在我們需要創建出站規則,
添加規則(Add Rule) - 選擇出站規則(Outbound rules)欄的空白規則(Blank rule)
更多進出站規則設定參考鏈接
https://www.iis.net/learn/extensions/url-rewrite-module/creating-outbound-rules-for-url-rewrite-module
步驟 5. 編輯出站規則如下,
名稱:Remove Server 變數名稱:RESPONSE_SERVER 其他按圖填寫
總結:
剩下的X-Powered-By和X-AspNet-version的服務器變數名稱分別為:
服務器變數(View Server Variables) 和出站規則頁面變數(Variables Name)均等于 RESPONSE_X-POWERED-BY
服務器變數(View Server Variables) 和出站規則頁面變數(Variables Name)均等于 RESPONSE_X-ASPNET-VERSION
從前慢,車馬慢, 一生只愛一個人,轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/556116.html
標籤:其他
上一篇:LangChain 任意命令執行(CVE-2023-34541)
下一篇:返回列表