[IIS 8.5]_隱藏IIS Header的Server以及PHP X-Powered-By訊息

如果沒做這件事情,駭客從簡單的HTTP SERVER RESPONSE HEADER就可以知道目標SERVER所用的WEB SERVER跟額外幫助駭客更容易攻擊的訊息。

 

例如下圖是web-sniffer.net的http response的header,可以發現他們是用nginx以及php 5.4.4當作平台架設網站…

除此之外…這個網站可以幫你比較容易地找出出現過的HEADER~可以測試一下自己的Site

1

 

這樣讓駭客馬上能知道目標的伺服器種類以及php版本…,就可以挑針對該版本的漏洞直接進行攻擊。

幸好這是可以隱藏的…


 

I. 隱藏Server header

首先要先隱藏Server的header,若不隱藏,IIS預設會吐回該主機的IIS版本跟識別符,隱藏的方法其實網路有很多…有一些是透過程式的手法去拿掉整個Server的header,這裡介紹的是透過URL Rewrite的功能去改掉這個header才response到request端。

 

參考自外國網站內的其中一個做法:https://www.saotn.org/remove-iis-server-version-http-response-header/

另外還有人寫了一隻程式能夠自動化的處理iis 7~8.5的這個問題,而且是把整個Server的屬性移除…但是是安裝檔,不太敢用(不過他有open source在github上就是了)

https://www.dionach.com/blog/easily-remove-unwanted-http-headers-in-iis-70-to-85,所以我還是選了透過IIS來處理的方式

 

1.去最上層伺服器內容,選擇URL Rewrite,如果你沒有這個功能,可能需要額外安裝(http://www.iis.net/downloads/microsoft/url-rewrite)

2015-07-22_17-59-47

 

2.接著新增一個輸出的空白規則

2

 

3.照著下圖更改,最上方的設定檔名稱你可以自己隨便取(所以沒有在圖裡面),最後面的動作的值可以自定義

2015-07-22_18-03-14

 

設定好之後,重新啟動iis,這時你再看看你站台的http response header有沒有變成你改的數值了~


II. 處理X-Powered-By xxxx

 

首先先處理IIS會吐的X-Powered-By:”ASP.NET”的訊息,這無疑是宣告我是一台IIS…(雖然MONO也可以能在APACHE支援ASP啦…)

參考自:http://slashlook.com/articles_20131208.htmlhttp://stackoverflow.com/questions/2661799/removing-x-powered-by

 

  1. 先到上層機器的設定首頁,選HTTP回應標頭,砍掉裡面會回報ASP.NET的標頭就可以處理掉這個

2015-07-22_18-16-13

 

2.若你有PHP SERVER,預設也是會傳回PHP版本…,可以透過PHP MANAGER修改PHP SETTING或者修改php.ini內的屬性”expose_php”,將原本的”ON”改成”OFF”儲存即可!

2015-07-22_18-19-53

 

這樣就可以完成隱藏X-Powered-By的標籤內容摟~

 

以上~

Leave a comment

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料