网站漏洞 隐藏IIS响应头信息

add

响应头信息原始头信息

Cache-Control： private
Content-Length： 78457
Content-Type： text/HTML; charset=utf-8
Date： Fri, 25 Apr 2014 06:19:18 GMT
Server： Microsoft-IIS/7.5
X-AspNet-Version： 4.0.30319
X-Powered-By： ASP.NET

修改Server:

方法一：安装UrlScan（放这个是微软官方出的东西）,(注意系统是32位(x86),还是64位(x64))
下载地址：http://www.microsoft.com/en-us/search/DownloadResults.aspx?q=URLScan

修改 URLScan.ini 文件

URLScan 的所有配置都是通过 URLScan.ini 文件执行的，此文件位于 %WINDIR%\System32\Inetsrv\URLscan 文件夹中。要配置 URLScan，请在文本编辑器（如记事本）中打开此文件，进行相应的更改，然后保存此文件。

注意：要使更改生效，必须重新启动 Internet 信息服务 (IIS)。一种快速的实现方法是在命令提示符处运行 IISRESET。

把RemoveServerHeader=1 ; 若为1,则移除IIS的server标头

保存，打开页页就看不到Server这个请求头信息了

方法二：安装rewrite模块。
rewirte下载地址：
https://www.iis.net/downloads/microsoft/url-rewrite

修改配置文件（C:\Windows\System32\inetsrv\config\applicationHost.config）。

<rewrite>
            <allowedServerVariables>
                    <add name="REMOTE_ADDR" />
            </allowedServerVariables>            
            <outboundRules>
                    <rule name="REMOVE_RESPONSE_SERVER">
                        <match serverVariable="RESPONSE_SERVER" pattern=".*" />
                        <action type="Rewrite" />
                    </rule>
            </outboundRules>
    </rewrite>
1
修改X-AspNet-Version
在web.config的<system.web>结点下添加
修改X-Powered-By
打开IIS，点一个站点，再点HTTP响应标头.双击你要修改的如“X-Powered-By”双击，修改成你想要的数据,也可以直接删除。

参考：
https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/



https://blog.csdn.net/manimanihome/article/details/85324436

add

X-Frame-Options   SAMEORIGIN
X-Powered-By     GTR

add

新增代码：
<verbs allowUnlisted="true" applyToWebDAV="true">
                    <add verb="OPTIONS" allowed="false"/>
                </verbs>