“Web服务器HTTP头信息公开”漏洞修复的一些方法

去掉X-AspNet-Version 头信息的方法（适用ASP.NET web站点）

<system.web>
    <httpRuntime enableVersionHeader="false" />
</system.web>

<system.webServer>
    <httpProtocol>
        <customHeaders>
            <remove name="X-AspNet-Version" />
        </customHeaders>
    </httpProtocol>
</system.webServer>

 

首先，下载UrlScan 工具,并安装。再进行以下设置：

某些编码资源（比如文件名称带汉字的资源）无法加载

找到 [AllowHighBitCharacters] 节，将值设为 “1” 以允许高字节字符

某些扩展名资源无法加载：比如.png，

可以在[AllowExtensions]节点增加。

去掉Server头信息（windows server 2012R2可能无效，这个问题很顽固，请往下看下一条内容）

[RemoveServerHeader]节点值设置为1 

如何隐藏IIS Web服务响应头中的IIS Server版本信息（windows server 2012R2）

（1）下载并安装url-rewrite：https://www.iis.net/downloads/microsoft/url-rewrite

（2）webconfig中增加以下配置

<?xml version="1.0" encoding="utf-8"?>
<configuration>
   <location path="." inheritInChildApplications="false">
       <system.webServer>
           <rewrite>
               <outboundRules>
                   <rule name="移除响应头中的IIS SERVER版本信息">
                       <match serverVariable="RESPONSE_SERVER" pattern=".*" />
                       <action type="Rewrite" />
                   </rule>
               </outboundRules>
           </rewrite>
       </system.webServer>
   </location>
</configuration>

效果如下图：

 

附一张图片：