使 iis/asp.net 提供尽可能少的信息

使 iis/asp.net 提供尽可能少的信息

这个问题与网站的安全性有关。

我知道 Web 服务器提供信息就像是一份荣誉(大部分以标题形式,但也以错​​误页面形式)。在这种情况下,IIS(虽然是开发版)在遇到 404 时向我提供了以下信息:

版本信息:Microsoft .NET Framework 版本:2.0.50727.4206;ASP.NET 版本:2.0.50727.4209

你们中有人过去使用过所谓的“漏洞”吗?
是的,这些小应用程序用于破解服务器(或其他任何东西)。它们主要依赖于服务器版本、操作系统类型等。

我认为提供此类信息是可怕的

所以我的问题是:我希望服务器在任何情况下,尽可能少地回复有关其自身、操作系统或其他任何信息(成功查看页面、内部错误、页面未找到等)。
如何使用 IIS7 实现这些?服务器端是否有“隐身模式”?有没有好的教程?

答案1

在现实世界中,更改服务器标语毫无意义。您要么会成为未经检查就发动攻击的自动攻击的牺牲品,要么会成为通过主动和被动流量检查轻松获取操作系统和应用程序指纹的人类攻击者的牺牲品。

但是,如果您坚持要更改横幅,Microsoft 的 URLScan 工具可以帮您解决问题:http://learn.iis.net/page.aspx/473/using-urlscan

相关内容