
关于360网站安全检测的修复问题,早在之前就想统一的写一篇文章,但是一直没时间弄,也不是真的没时间,可能还是因为懒吧,所以今后还得勤快一点,所以简单的整理了一下教程,发布出来。
首先:
先解决 [轻微]IIS版本号可以被识别,关于此漏洞的修复方案如下:
1.在IIS配置文件中进行修改。
借助IIS URL Rewrite Module,添加如下的重写规则: <rewrite> <allowedServerVariables> <add name="REMOTE_ADDR" /> </allowedServerVariables> <outboundRules> <rule name="REMOVE_RESPONSE_SERVER"> <match serverVariable="RESPONSE_SERVER" pattern=".*" /> <action type="Rewrite" /> </rule> </outboundRules></rewrite>
重写规则存放在C:\Windows\System32\inetsrv\config\applicationHost.config中。
2. 移除X-AspNet-Version
在web.config的<httpRuntime>中添加enableVersionHeader="false":
<httpRuntime enableVersionHeader="false" />
3. 移除X-AspNetMvc-Version
在 Application_Start() 中添加如下代码:
protected void Application_Start() { MvcHandler.DisableMvcResponseHeader = true; }
4. 移除X-Powered-By
在IIS Manager的HTTP Response Headers中移除X-Powered-By: