温馨提示:这篇文章已超过2478天没有更新,请注意相关的内容是否还可用!
关于360网站安全检测的修复问题,早在之前就想统一的写一篇文章,但是一直没时间弄,也不是真的没时间,可能还是因为懒吧,所以今后还得勤快一点,所以简单的整理了一下教程,发布出来。
首先:
先解决 [轻微]IIS版本号可以被识别,关于此漏洞的修复方案如下:
1.在IIS配置文件中进行修改。
借助IIS URL Rewrite Module,添加如下的重写规则:
<rewrite> <allowedServerVariables> <add name="REMOTE_ADDR" /> </allowedServerVariables> <outboundRules> <rule name="REMOVE_RESPONSE_SERVER"> <match serverVariable="RESPONSE_SERVER" pattern=".*" /> <action type="Rewrite" /> </rule> </outboundRules> </rewrite>
重写规则存放在C:\Windows\System32\inetsrv\config\applicationHost.config中。
2. 移除X-AspNet-Version
在web.config的<httpRuntime>中添加enableVersionHeader="false":
<httpRuntime enableVersionHeader="false" />
3. 移除X-AspNetMvc-Version
在 Application_Start() 中添加如下代码:
protected void Application_Start()
{
MvcHandler.DisableMvcResponseHeader = true;
}4. 移除X-Powered-By
在IIS Manager的HTTP Response Headers中移除X-Powered-By:
文章版权声明:除非注明,否则均为李洋个人博客原创文章,转载或复制请以超链接形式并注明出处。
发表评论