漏洞修复记录

 

一、IIS返回头

 漏洞描述

此 Web 应用程序返回的 HTTP 响应包括名为 Server 的响应头。响应头的值包含Microsoft IIS服务器的版本信息。
此Web应用程序返回的HTTP响应中包含X-AspNet-Version头。Visual Studio使用此响应头的值来确定正在使用哪个版本的ASP.NET。对于生产站点而言，这不是必需的，应将其禁用。

https://github.com/Dionach/StripHeaders/releases

下载msi

 

1.在电脑上先用管理员cmd执行

C:\Windows\System32\inetsrv\appcmd.exe install module /name:StripHeadersModule /image:%windir%\system32\inetsrv\stripheaders.dll /add:true /lock:true

2.安装iis_stripheaders_module_1.0.5.msi

3.重启IIS

 

 

会删除IISserver信息以及X-Powered-By、X-AspNet-Version、X-AspNetMvc-Version等

 

二、一般windows漏洞修复

这是个常识，一般打开windows update 服务，自动更新就能解决

像Sql Server也能支持更新解决问题，前提是必须在安装Sql Server选择自动更新

 

三、一般jquery漏洞

升级成最新的jquery组件

 

四、IIS密码加密漏洞

 具体描述是加密算法有漏洞，不描述了

下载工具

 

 用管理员权限打开，这个界面勾选，勾选Reboot（重启）,点击Apply（应用）

 

TLS1.2 目前发现堡垒机是用该算法加密，部分软件也用的TLS1.2，这个不可以取消勾选（即使漏扫报告了该漏洞），否则无法远程，部分功能也无法使用。